CrowdStrike’ta Küresel Kıdemli Direktör olarak görev yapan Andrew Harris, “Spyboy” adlı bir tehdit aktörü tarafından Russian Anonymous Marketplace (RAMP) üzerinden tanıtılan bir Uç Nokta Tespit ve Yanıt (EDR) öldürme aracı olan “Terminator” ile ilgili ayrıntıları paylaştı. Tanıtım 21 Mayıs tarihinde yapılmış.
Spyboy adlı yazar, bu Terminator aracının 23 EDR ve anti-virüs kontrolünü başarıyla devre dışı bırakabildiğini iddia ediyor. Bu kontrolcüler arasında Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, Mcafee, BitDefender, Malwarebytes ve daha birçok firma yer alıyor. Yazılımın bir kontrolcüyü atlatması için 300 ABD doları, tüm kontrolcüleri atlatması için 3000 ABD doları fiyatında satıldığı söyleniyor.
CrowdStrike, Terminator EDR atlatma aracının “CVE-2021-31728” kimliği altında izlenen bir güvenlik açığından potansiyel olarak yararlanmak için kullanılan imzalı bir sürücü dosyası Zemana Anti-Malware’i oluşturduğunu söylüyor. Bununla birlikte, yükseltilmiş ayrıcalıklar ve Kullanıcı Hesabı Denetimi (UAC) kabulü gerektiriyor. VirusTotal’a göre dosyayı 70 EDR kontrolcüsü tespit edemiyorken, yalnızca Elastic dosyayı kötü amaçlı yazılım olarak tespit etti.
Bir demoda da tehdit aktörü Spyboy, CrowdStrike Falcon EDR’nin Terminator yardımıyla başarıyla devre dışı bırakıldığını gösterdi. İlk görüntüde Falcon’un hala çalıştığını gösterirken, ikinci görüntüde Falcon görevinin sonlandırıldığını gösterdi.
