Terminator病毒杀手的最新发现

关键要点

• CrowdStrike的研究人员发现，名为Terminator的病毒杀手被Spyboy这一威胁行为者用于执行“自带漏洞驱动攻击”。
• Terminator会在System32文件夹中，以随机名称部署合法的Zemana反恶意软件内核驱动程序（"zamguard64.sys"或"zam64.sys"）。
• 恶意驱动程序用于停止防病毒和终端检测响应软件的用户模式进程。
• 目前仅有一个反恶意软件扫描引擎能够检测到该驱动程序，但Nextron Systems的研究负责人Florian Roth及威胁研究员Nasreddine Bencherchali提供了识别Terminator工具驱动程序的YARA和Sigma规则。
• 该发现与Sophos X-Ops研究人员发现的AuKill黑客工具有关，该工具利用一个易受攻击的Process Explorer驱动程序来实现勒索软件的分发。

近日，CrowdStrike的研究人员确认，Spyboy这一威胁行为者使用的Terminator病毒杀手，帮助实施了，据报道。Terminator通过在System32文件夹中以随机名称部署合法的Zemana反恶意软件内核驱动程序"zamguard64.sys"或"zam64.sys"，然后利用该恶意驱动程序终止防病毒和终端检测响应软件的用户模式进程，CrowdStrike的一位工程师在Reddit帖子中解释道。

关于Terminator与易受攻击的Windows驱动程序之间的具体交互细节仍不清楚，目前只有一个反恶意软件扫描引擎能够检测到该驱动程序。然而，NextronSystems的研究负责人Florian Roth和威胁研究员NasreddineBencherchali已提供了YARA和Sigma规则，来帮助识别Terminator工具的驱动程序。这一发现与SophosX-Ops的研究人员发现的AuKill黑客工具有直接关系，该工具利用了一个易受攻击的Process Explorer驱动程序来实现勒索软件的传播。

通过这些新发现，网络安全行业需要进一步注意可用的漏洞驱动程序以及如何加以防范，以保护系统免受恶意软件和潜在攻击的威胁。