在网络威胁不断发展的今天,安全工具不断成为恶意行为者的攻击目标。终结者 "就是一个很好的例子,它是由一个名为 Spyboy 的威胁行为者推广的反恶意软件杀手。该工具在一个讲俄语的黑客论坛上做广告,声称可以在运行 Windows 7 及更高版本的设备上,绕过包括 Windows Defender 在内的 24 种不同的安全解决方案,终止任何杀毒软件、XDR 和 EDR 平台。
不过,仔细观察,终结者工具并非不可战胜的威胁。终结者工具利用的机制与其他自带驱动程序(BYOD)攻击类似,可以通过端点安全管理和安全访问解决方案(如OPSWAT MetaDefender Access)加以防范。与OPSWAT MetaDefender Access 相关的全面端点合规性检查包括监控反恶意软件工具以及端点设备是否已被扫描。
终结者反病毒杀手如何运行
该工具的核心是在受影响的端点上安装有漏洞的驱动程序,并利用该漏洞。终结者需要目标 Windows 系统的管理权限才能运行。它首先欺骗用户接受用户账户控制(UAC)弹出窗口,赋予其管理权限,将一个合法的、已签名的反恶意软件内核驱动程序安装到系统文件夹中。然后,恶意驱动程序利用内核级权限杀死设备上运行的 AV 和 EDR 软件的用户模式进程。
这种攻击被称为自带漏洞驱动程序(BYOVD)攻击,在威胁行为者中非常普遍。终结者 "并非近期唯一的 BYOVD 攻击。最近的BlackByte 勒索软件攻击也采用了相同的攻击模式,滥用有问题的驱动程序来获取高阶权限。另一次攻击发生在 2022 年第三季度,涉及滥用 Genshin Impact 的反作弊驱动程序来杀死反病毒程序。所有这些攻击都表明了一个令人担忧的现实:即使是合法的驱动程序也并非完全可信。
MetaDefender 访问:最全面的 ZTNA 解决方案
为了应对这种不断上升的威胁,采用一种能够在所有设备访问敏感应用程序之前对其安全状况进行监控的解决方案至关重要。
通过部署MetaDefender Access 这样的解决方案,企业可以主动监控其设备的安全状况。这有助于在终结者等看似合法的工具造成危害之前对其进行检测,确保所有设备都能保持所需的安全控制和合规标准。MetaDefender Access 还可以监控反恶意软件工具是否正常运行,以及端点设备是否已被扫描。
此外,MetaDefender Access 还提供Network Access Control NAC)解决方案,确保每个网络连接和端点设备都是实时可见、允许或适当阻止的。有了MetaDefender NAC,与 "终结者 "等安全事件相关的威胁就会大大降低。
MetaDefender NAC 为所有连接到网络的设备提供无代理识别、剖析和访问控制。它可从在线网络设备、现有身份访问管理工具和设备本身获取信息。
通过MetaDefender Access,您可以实时发现新用户和设备,进行合规性检查以验证设备是否符合企业和监管标准,通过双向安全工具集成实现快速反应,并对严重警报进行实时隔离,等等。该解决方案还可通过无代理和基于代理的分析提供设备智能,并可对来自第三方安全工具的警报采取行动,以隔离系统。
有关我们解决方案的更多信息,请联系我们的安全专家。
