Terminator tipu antivirus perlu di waspadai khususnya program di internet


   Security | 1 June 2023

Andrew Harris, Direktur Global di CrowdStrike, membagikan detail tentang "Terminator".

Software menghentikan Endpoint Detection and Response (EDR) yang dipromosikan aktor "Spyboy", di pasar tanpa nama.
Kampanye tersebut tampaknya dibagikan 21 Mei 2023.

Pembuat Spyboy, mengklaim alat Terminator mereka berhasil menonaktifkan 23 kontrol EDR dan anti-virus.

Ini termasuk produk dari Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes, dan banyak lagi.
Perangkat lunak tersebut dijual dengan harga US$300 (bypass tunggal) hingga US$3.000 (bypass all-in-one).

CrowdStrike mencatat alat penghindaran EDR Terminator menghasilkan file driver yang sah dengan signature Zemana Anti-Malware, yang berpotensi mengeksploitasi kerentanan keamanan yang di bawah ID "CVE-2021-31728".

Namun, cara tersebut memang membutuhkan hak istimewa yang lebih tinggi dan UAC.
Hanya Elastic yang mendeteksi file tersebut sebagai software berbahaya sedangkan file tersebut tidak terdeteksi oleh 70 vendor lain menurut VirusTotal.

Harris mengatakan bahwa alat tersebut bekerja mirip dengan cara Bring Your Own Rentan Driver (BYOVD) dengan menonaktifkan komponen Security yang ada di sistem:

     Pada saat penulisan, perangkat lunak Terminator memerlukan hak khusus sebagai Admin dan UAC agar berfungsi dengan baik.
Setelah dieksekusi dengan tingkat hak istimewa yang tepat, biner akan menulis satu file driver yang sah dan ditandatangani sebagai Zemana Anti-Malware.
Dimasukan ke folder C:\Windows\System32\drivers\.
File driver diberi nama acak antara 4 dan 10 karakter.

Teknik ini mirip dengan kampanye Bring Your Own Driver (BYOD) lainnya yang diamati ketika digunakan pelaku ancaman selama beberapa tahun terakhir.

Keadaan normal, driver akan diberi nama zamguard64.sys atau zam64.sys.
Driver ditandatangani sebagai Author dari perusahaan pembuat "Zemana Ltd." dan memiliki signature berikut:  96A7749D856CB49DE32005BCDD8621F38E2B4C05.
Tentu nama tersebut sebagai produsen driver dapat dibuat berbeda dan berubah.

Setelah file berhasi ditulis ke disk storage, perangkat lunak memuat driver dan diamati menghentikan proses mode pengguna software dari antivirus dan EDR.

Dalam demo, ancaman tersebut menunjukkan program CrowdStike Falcon EDR berhasil dinonaktifkan dengan bantuan program Terminator.
Gambar sebelah kiri (bawah) menunjukkan software keamanan Falcon masih berjalan sedangkan gambar sebelah kanan menunjukkan proses Falcon dihentikan.

Spyboy Terminator

Singkatnya, program terminator membuat sistem nama acak yang menginfeksi OS Windows, bagian berbahaya ada di program terminator yang bertugas untuk menghentikan diteksi software antivirus.

Setelah masuk, file dibuat secara acak, dalam demo dibuat dengan nama ektensi zamguard64.sys atau zam64.sys. Nama tersebut dapat berubah sesuai pembuat.
Setelah masuk di OS Windows, beberapa program Antivirus yang bekerja tidak lagi mengenal keberadaan software berbahaya tersebut.
Karena dianggap sebagai sebuah program driver Sys.
Program keamanan sampai Mei 2023 lalu belum seluruhnya dapat menditeksi.

Bila mendapatkan link, atau mendownload program dari sumber tidak resmi. Ada baiknya berhati-hati, dan memeriksa ulang mulai Juni 2023 ke depan.
Periksa ulang di layanan Google dengan Virustotal.


Artikel Lain

Malware Rafel RAT menyusup seperti aplikasi resmi atau aplikasi Mod. Mengambil alih smartphone, dan otentifikasi 2 faktor. Sementara tidak terditeksi PlayProtect. Smartphone dapat di remote dan ijin Admin. Target akhir Ransomware mengunci ponsel. Indonesia masuk grup ke 3 yang terditeksi. Jangan tertipu malware

Security Akamai menyebut Malware KmsdBot mengincar perangkat IoT. Umum perangkat pintar seperti sistem IoT di rumah dikendalikan satu perangkat smart control. Perangkat tersebut dijadikan mesin Botnet Malware KmsdBot. Menanggulanginya mudah, karena yang di cari adalah Password.

Grup Lemon menyebar malware dan menginfeksi smartphone. Dapat membajak akun Facebook, Whatsapp, SMS, dan aplikasi populer lainnya. Nomor keamanan OTP dapat di cegat, akun Facebook dapat dibajak dan digunakan untuk memposting dari bukan pemilik

Kerentanan meloloskan dari daftar hitam dan lolos masuk dari deteksi Defender, Microsoft berikan update. Kemungkinan autoKMS tidak bekerja. Microsoft merilis paket pembaruan anti-malware Defender untuk image instalasi OS Windows. Microsoft memberikan definisi keamanan terbaru melalui pembaruan -Security intelligence update 1.395.68.0, dan versi Defender 20230809

User sempat terkejut dengan lokasi yang dibagikan pada postingan Instagram. Karena lokasi keberadaan foto diambil masuk sangat akurat. Masalah bukan di Instagram, tapi penguna tidak tahu bagaimana menonaktifkan Tag lokasi, dan lupa menonaktifkan.

Layanan security Dr.Web menemukan 9 aplikasi yang telah di download 5,8 juta kali. Tapi aplikasi tersebut mencuri akun login Facebook anda.  Google telah menghapus 9 aplikasi berbahaya tersebut, tapi sebagian sudah di download oleh penguna, terdiri dari aplikasi Android foto, olahraga, ramalan, dan kunci

RDP - Remote Desktop Protocol adalah satu fitur di Windows ketika seseorang ingin melakukan remote computer dari computer lain. Tapi hati hati di bulan Mei 2020 ada yang sedang mengumpulkan dengan menginfeksi computer dengan malware Sarwen. Bagaimana menonaktifkan RDP di Windows.

Aplikasi untuk memata-matai smartphone di tendang lagi oleh Google. Dapat memata-matai keberadaan lokasi teman, pacar, anak anak atau karyawan. Setelah mendapat laporan dari Avast yang menemukan 4 aplikasi untuk memata-matai smartphone. Aplikasi sangat mudah di install,.Di smartphone akan berjalan tersembunyi tanpa diketahui pemilik ponsel.

Sebuah studi baru, beberapa layanan website mengunakan script pihak lain. Fungsinya untuk mencatat apa yang diketik di perangkat elektronik. Sekitar 50 ribu situs teratas, dari 1 juta situs melakukan pencatatan aktivitas pengunjung. Setidaknya 400 situs lebih adalah situs ternama.



Youtube Obengplus


Trend