Baru-baru ini, seorang aktor ancaman (TA) yang dikenal sebagai SpyBot memposting sebuah alat, di forum peretasan Rusia, yang dapat menghentikan perangkat lunak antivirus/Endpoint Detection & Response (EDR/XDR). IMHO, semua hype di balik pengumuman ini sama sekali tidak dapat dibenarkan karena ini hanyalah contoh lain dari teknik serangan Bring Your Own Rentan Driver (BYOVD) yang terkenal: di mana driver bertanda tangan yang sah dijatuhkan ke mesin korban dan kemudian digunakan untuk menonaktifkan keamanan solusi dan/atau mengirimkan muatan tambahan.
Teknik ini memerlukan hak administratif dan penerimaan Kontrol Akun Pengguna (UAC) agar dapat berfungsi dengan baik, dan ini bukan salah satu yang paling tersembunyi. Selain itu, jika penyerang sudah menjadi admin lokal di mesin, tidak ada batas keamanan yang dapat dilintasi karena selalu GAME OVER; kemungkinannya tidak terbatas dari perspektif serangan itu.
Meskipun saya telah melihat banyak materi dari komunitas defensif (mereka cepat dalam hal ini) tentang mekanisme deteksi, IOC, kebijakan pencegahan, dan intelijen, saya merasa beberapa jalur kode rentan lain yang mungkin lebih menarik dalam driver ini belum dieksplorasi. maupun dibahas.
Zemana memiliki dua lini produk:
- Zemana AntiMalware, zamguard64.sys
- Zemana AntiLogger, zam64.sys
Meskipun namanya berbeda, drivernya sama (mereka juga berbagi hash yang sama); mari selami driver Zemana (zam64.sys).
Jika TA lebih teliti dengan analisisnya, mereka akan menemukan bahwa driver Zemana adalah paket awal kit ransomware yang sempurna, dan mereka akan menggunakannya daripada hanya menjualnya:
- Itu dapat menghentikan proses: yang sempurna untuk mematikan AV/EDR/XDR dan produk keamanan lainnya.
- Itu dapat memberikan kemampuan eskalasi hak istimewa: membantu untuk kegigihan.
- Ini memiliki akses Baca/Tulis disk SCSI mentah sewenang-wenang yang dapat dimanfaatkan untuk melakukan enkripsi disk penuh.
Saya sangat berharap Microsoft akan menambahkan driver ini ke daftar blokir, karena mudah dipersenjatai untuk serangan paling jahat.
selengkapnya : github.com
