بدافزار روسی Terminator هر آنتی‌ویروسی را از کار می‌اندازد!

بدافزار روسی Terminator می‌تواند هرنوع آنتی‌ویروس را خلع سلاح کند. هکرهای روسی بازهم قدرت فضایی خود در زمینه سایبری را نشان دادند.

بدافزار روسی Terminator توسط یکی از هکرهای به‌نام روس برای از کار انداختن هرنوع آنتی‌ویروس در سیستم‌عامل ویندوز رونمایی شد. این بدافزار خطرناک همانطور که از نامش پیداست قادر است لایه‌های امنیتی تمامی شرکت‌های امنیتی در ویندوز را از بین ببرد و بدین‌ترتیب کاربران بسیاری در سراسر جهان باید نگران از دست رفتن اطلاعات خود باشند.

بیشتر بخوانید:‌ از کجا بفهمیم واتساپ هک شده ؟ [+علائم تشخیص هک شدن واتساپ و روش رفع هک]

بدافزار روسی Terminator بزرگترین شکننده لایه‌های دفاعی ویندوز معرفی شد

گزارش‌های منتشر شده حاکی از فروش یک تهدید امنیتی جدید از سوی هکرهای روس است که گفته می‌شود قادر به از کار انداختن تقریباً همه آنتی ویروس ها و راهکارهای تشخیص و واکنش به بدافزارها (به اختصار EDR و XDR) است.

قاتل آنتی ویروس‌ها یا Terminator که در یک تالار گفتگو اینترنتی روس به نام Ramp به فروش می‌رسد، ساخت یک هکر با نام مستعار Spyboy است. این هکر ادعا می‌کند برنامه Terminator قادر به از کار انداختن حداقل 23 برنامه امنیتی است. جالب اینکه سازنده آن برای دور زدن تنها یک آنتی‌ویروس 300 دلار می‌گیرد، اما برای از کار انداختن تمامی آنتی‌ویروس‌ها یا تهیه نسخه کامل این برنامه باید 3000 دلار پرداخت.

آنتی‌ویروس محبوب Windows Defender یکی از برنامه‌هایی است که قاتل روس از عهده خاموش کردن آن در ویندوز 7 و تمامی نسخه‌های جدیدتر سیستم عامل دسکتاپ مایکروسافت بر می‌آید. در عین حال به نظر می‌رسد آنتی ویروس‌های مشهور چون BitDefender ،Avast یا Malwarebytes هم در برابر این ابزار جدید بی دفاع باشند.

یک متخصص امنیت می‌گوید برنامه روسی Terminator در اصل گونه جدیدی از حملات شناخته شده موسوم‌به Bring Your Own Vulnerable Driver (BYOVD) است. برای انجام این حمله‌ها نخست دسترسی به مجوزهای ادمین سیستم نیاز است و باید به نحوی کاربر را متقاعد کرد تا مانع از اجرای برنامه مخرب توسط UAC نشود.

در حملات BYOVD، مهاجم از یک درایور معتبر اما حاوی حفره امنیتی برای انجام مقاصد خرابکارانه خود استفاده می‌کند، بنابراین در این روش هم از یک درایور معتبر اما آسیب‌پذیر سوء‌استفاده می‌شود.

پس از اجرای برنامه توسط کاربر، Terminator اقدام به کپی کردن یک درایور متعلق به آنتی‌ویروس Zemana در مسیر C:\Windows\System32\drivers می‌کند که از امضای دیجیتال معتبر هم برخوردار است. در نهایت این قاتل خاموش از حفره‌های امنیتی موجود درایور مزبور برای از کار انداختن تمامی آنتی‌ویروس‌ها و برنامه‌های امنیتی نصب شده از سوی کاربر استفاده می‌کند.

هرچند چگونگی عملکرد بدافزار Terminator در از کار انداختن آنتی‌ویروس‌ها روشن نیست، اما ظن سوء استفاده از آسیب‌پذیری‌های شناخته شده‌ای چون CVE-2021-31727 و CVE-2021-31728 وجود دارد که امکان اجرا یا حذف فایل‌ها و اجرای فرامین با مجوزهای سطح هسته را می‌دهد.

با وجود اینکه بدافزار‌نویس روسی ادعا می‌کند برنامه Terminator از عهده خاموش کردن تنها 23 آنتی‌ویروس بر می‌آید، اما تحلیل فایل درایور آن در سرویس VirusTotal نشان می‌دهد جمعاً 70 آنتی‌ویروس و راهکار EDR قادر به شناسایی آن نیستند. در این میان تنها یک EDR آن را به عنوان بدافزار تشخیص می‌دهد و آن Elastic است. البته نباید این واقعیت را نادیده گرفت که درایور مزبور ذاتاً مخرب نیست و این حفره‌های امنیتی موجود در آن هستند که می‌توانند برای مقاصد خرابکارانه مورد استفاده قرار بگیرند.

خوشبختانه چند پژوهشگر امنیتی چون Florian Roth و Nasreddine Bencherchali، داده‌های لازم برای تشخیص وجود درایور حاوی حفره امنیتی بر روی سیستم کاربران را فراهم کرده‌اند. برای این منظور می‌توان از Rule‌های ایجاد شده برای YARA یا Sigma استفاده کرد. همچنین مسدود کردن درایورهای دارای امضای دیجیتال Zemana می‌تواند یکی دیگر از راه‌های مقابله با این بدافزار مخوف روس باشد.

بیشتر بخوانید:

• یک گروه هکری مدعی هک شبکه داخلی نهاد ریاست جمهوری ایران شد [+فیلم]
• جولان هکرهای ایرانی در خاورمیانه ؛ تشدید حملات جاسوسی ایران علیه متحدان، دوستان و دشمنان!

نظر شما درباره‌ بدافزار روسی Terminator چیست؟ دیدگاه خود را در بخش کامنت ها با تکراتو در میان بگذارید و اخبار تکنولوژی را با ما دنبال کنید.