Nel panorama in continua evoluzione delle minacce informatiche, gli strumenti di sicurezza sono costantemente presi di mira da attori malintenzionati. Un esempio perfetto è "Terminator", un killer antimalware promosso da un attore delle minacce noto come Spyboy. Questo strumento, pubblicizzato su un forum di hacking di lingua russa, sostiene di terminare qualsiasi piattaforma antivirus, XDR e EDR, aggirando 24 diverse soluzioni di sicurezza, tra cui Windows Defender, su dispositivi con Windows 7 e successivi.
Tuttavia, a un'analisi più attenta, lo strumento Terminator non è una minaccia invincibile. Utilizzando un meccanismo simile ad altri attacchi BYOD (Bring Your Own Driver), lo strumento Terminator può essere prevenuto con una soluzione di gestione della sicurezza degli endpoint e di accesso sicuro come OPSWAT MetaDefender Access. Una parte dei controlli completi di conformità degli endpoint associati a OPSWAT MetaDefender Access prevede il monitoraggio degli strumenti antimalware e la verifica dell'avvenuta scansione dei dispositivi endpoint.
Come funziona Terminator Anti-Virus Killer
Nel suo nucleo, lo strumento installa un driver vulnerabile sull'endpoint interessato e sfrutta tale vulnerabilità. Per funzionare, Terminator richiede privilegi amministrativi sui sistemi Windows interessati. Per prima cosa inganna l'utente e lo costringe ad accettare un pop-up del Controllo dell'account utente (UAC), concedendogli i privilegi amministrativi per installare un driver kernel anti-malware legittimo e firmato nella cartella di sistema. Il driver dannoso sfrutta quindi i privilegi a livello di kernel per eliminare i processi in modalità utente dei software AV e EDR in esecuzione sul dispositivo.
Questo tipo di attacco, noto come attacco BYOVD (Bring Your Own Vulnerable Driver), è molto diffuso tra gli attori delle minacce. Terminator non è l'unico attacco BYOVD recente. Anche il recente attacco ransomware BlackByte ha seguito lo stesso schema di attacco, abusando di un driver difettoso per ottenere privilegi di alto livello. Un altro attacco si è verificato nel terzo trimestre del 2022 e ha comportato l'abuso del driver anti-cheat di Genshin Impact per uccidere i programmi antivirus. Tutti questi attacchi evidenziano una realtà preoccupante in cui nemmeno i driver legittimi sono completamente affidabili.
MetaDefender Accesso: La soluzione ZTNA più completa
Per contrastare queste minacce sempre più frequenti, è fondamentale impiegare una soluzione in grado di monitorare e controllare la postura di sicurezza di tutti i dispositivi prima che questi possano accedere alle applicazioni sensibili.
Implementando una soluzione come MetaDefender Access, le organizzazioni possono monitorare e controllare in modo proattivo la posizione di sicurezza dei loro dispositivi. Questo può aiutare a rilevare strumenti apparentemente legittimi come Terminator prima che causino danni, garantendo che tutti i dispositivi mantengano i controlli di sicurezza e gli standard di conformità richiesti. MetaDefender Access può anche monitorare se gli strumenti antimalware funzionano correttamente e se il dispositivo endpoint è stato scansionato.
MetaDefender Access offre inoltre una soluzioneNAC( Network Access Control ) che garantisce che ogni connessione di rete e dispositivo endpoint sia visibile, consentito o bloccato in tempo reale. Con MetaDefender NAC, la minaccia associata a incidenti di sicurezza come Terminator può essere ridotta in modo sostanziale.
MetaDefender NAC fornisce identificazione, profilazione e controllo degli accessi senza agenti per tutti i dispositivi che si connettono a una rete. Raccoglie informazioni dai dispositivi di rete in linea, dagli strumenti di gestione dell'identità e dell'accesso esistenti e dal dispositivo stesso.
Con MetaDefender Access è possibile rilevare in tempo reale nuovi utenti e dispositivi, effettuare controlli di conformità per verificare che i dispositivi siano conformi agli standard aziendali e normativi, integrare strumenti di sicurezza bidirezionali per reagire rapidamente e mettere in quarantena in tempo reale gli avvisi più gravi e molto altro ancora. La soluzione fornisce inoltre informazioni sui dispositivi tramite analisi agentless e agent-based e può agire sugli avvisi provenienti da strumenti di sicurezza di terze parti per isolare i sistemi.
Per ulteriori informazioni sulla nostra soluzione, contattate i nostri esperti di sicurezza.
