پرش از محتوا

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی
      • مایکروسافت
        • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
        • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
        • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی
  • تماس با ما
 
  • خانه
  • اخبار
  • ابزار Terminator قاتل محصولات امنیتی + نمونه درایور
  • آسیب پذیری امنیتی
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید

ابزار Terminator قاتل محصولات امنیتی + نمونه درایور

در خرداد 18, 1402خرداد 18, 1402
seyyid
Share
زمان مطالعه: 2 دقیقه

یه بازیگر تهدید بنام Spyboy در حال تبلیغ ابزاری بنام Terminator هستش که میتونه 24 نوع آنتی ویروس، XDR و EDR زیر رو دور بزنه:

Windows Defender
SentinelOne
Sophos
CrowdStrike
Carbon Black
Cortex
Cylance
Kaspersky
ESET
AVAST
AVG
Symantec
McAfee
BitDefender
TrendMicro
Panda
MalwareBytes
Check Point Endpoint
TopSec
360 Internet Security
Aliyun
Vipre
Webroot
Cybereason

 

این ابزار روی ویندوزهای 7 تا 11 و سرور 2008 تا 2022 کار میکنه . قیمت این محصول برای هر بایپس 300 دلار و برای همه (all-in-one) ، 3000 دلار هستش. فروش تکی برای محصولات SentinelOne و Sophos و CrowdStrike و Carbon Black و Cortex و Cylance وجود نداره و همچنین این محصول رو برای باج افزارها ارائه نمیده.

 

terminator spyboy

 

برای این ابزار دو تا ویدیو هم منتشر شده :

 

 

 

حالا نکته جالب اینجاست که محققای CrowdStrike برداشتن این ابزار رو تحلیل کردن و یه گزارش فنی در خصوصش منتشر کردن، چند تا محقق امنیتی هم رول Yara و Sigma براش نوشتن.

 

 

گزارش فنی:

ابزار Terminator برای اجرا نیاز به امتیاز مدیریتی داره و همچنین نیاز هستش که کاربر یه پاپ آپ User Account Controls (UAC) رو تایید کنه. وقتی برنامه با امتیاز مناسب اجرا شد، یه درایور قانونی و امضاء شده، مربوط به Zemana Anti-Malware رو در مسیر C:\Windows\System32\drivers\ میریزه. یه نام تصادفی بین 4 تا 10 کاراکتر هم بعنوان نام درایور، انتخاب میشه. نتیجه اسکن این درایور آسیب پذیر رو میتونید در VT مشاهده کنید.

بطور کلی، کاری که این ابزار انجام میده همون تکنیک Bring Your Own Driver (BYOD) هستش که در این سالهای اخیر مورد توجه بازیگران تهدید هستش. یه نمونه جالبش رو میتونید اینجا بخونید.

درایور قانونی در شرایط معمول، zamguard64.sys یا zam64.sys هستش و توسط Zemana Ltd امضاء شده و هش زیر داره :

 

1
96A7749D856CB49DE32005BCDD8621F38E2B4C05

 

بعد از اینکه داریور در مسیر مورد نظر نوشته شد، لوود میشه و با توجه به اینکه ، امتیاز کرنل رو داره ، میتونه پروسس حالت کاربر محصولات AV/EDR رو ببنده.

مشخص نیست که ابزار چطوری از درایور سوء استفاده میکنه، اما یه آسیب پذیری با شناسه CVE-2021-31728 در سال 2021 کشف شده که امکان اجرای کد با امتیاز کرنل رو میده. برای این آسیب پذیری یه PoC هم هستش. این ابزار میتونه، از این آسیب پذیری استفاده کنه و پروسس های حالت کاربر محصولات امنیتی رو ببنده.

با توجه به اینکه این درایور در محیط های معمولی ، رایج نیست، میشه بعنوان روشی برای شناسایی این این ابزار ازش استفاده کرد. یعنی اگه در محیطی چنین درایوری رو مشاهده کردید، میتونه بعنوان یه نقطه شروع برای بررسی باشه.

محققین امنیتی Florian Roth و Nasreddine Bencherchali برای شناسایی این درایور رول Yara و Sigma  براساس هش و نامشون ایجاد کردن، که میتونید با استفاده از اونها این درایور آسیب پذیر رو شناسایی کنید.

نمونه درایور آسیب پذیر در این گزارش رو میتونید از صفحه گیتهاب ما دانلود کنید.

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
در آسیب پذیری امنیتی آنالیز بدافزار اخبار بازیگران تهدیددر Bring Your Own Driver , BYOD , CrowdStrike , CVE-2021-31728 , edr , SIGMA , Terminator , xdr , yara , zam64.sys , zamguard64.sys , Zemana Anti-Malware

راهبری نوشته

برنامه باگ بانتی Hex Rays
بروزرسانی ماه ژوئن 2023 اندروید

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

بایگانی‌ها

  • دسامبر 2023
  • نوامبر 2023
  • اکتبر 2023
  • سپتامبر 2023
  • آگوست 2023
  • جولای 2023
  • ژوئن 2023
  • می 2023
  • آوریل 2023
  • مارس 2023
  • فوریه 2023
  • ژانویه 2023
  • دسامبر 2022

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
seyyid
در فروردین 9, 1402فروردین 28, 1402

بروزرسانی 7 فروردین 1402 اپل

  • اخبار
  • باگ بانتی
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
در فروردین 22, 1402فروردین 28, 1402

Voorivex Hunt Event

  • اخبار
seyyid
در تیر 29, 1402

درگذشت آقای Kevin Mitnick در سن 59 سالگی

  • آسیب پذیری امنیتی
  • اخبار
  • امنیت وب
  • انتشارات
  • باگ بانتی
  • پروژه ها
  • ماشین آسیب پذیر
seyyid
در شهریور 13, 1402

نسخه وردپرس آسیب پذیر برای آگوست 2023 منتشر شد

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

APT Cl0p command injection CVE-2023-34362 DDOS Directory Traversal FBI Fortinet Heap buffer overflow integer overflow LockBit LockBit 3.0 nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday Prelude PWN2OWN Stack Buffer overflow type confusion use after free vmware XSS ZDI vulnerability zero day initiative آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت اکسپلویت نویسی باج افزار تلگرام زیرودی سیسکو فورتی نت فیشینگ مایکروسافت وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 2022-2023