En el panorama de las amenazas cibernéticas, en constante evolución, las herramientas de seguridad son blanco constante de los actores maliciosos. Un ejemplo perfecto de ello es «Terminator», un programa diseñado para desactivar el antimalware, promovido por un actor malicioso conocido como Spyboy. Esta herramienta, anunciada en un foro de hackers de habla rusa, afirma que puede desactivar cualquier antivirus, XDR y plataforma EDR, eludiendo 24 soluciones de seguridad diferentes, incluido Windows Defender, en dispositivos que ejecutan Windows 7 y versiones posteriores.
Sin embargo, si se analiza más detenidamente, la herramienta Terminator no supone una amenaza invencible. Al utilizar un mecanismo similar al de otros ataques del tipo «Bring Your Own Driver» (BYOD), la herramienta Terminator puede prevenirse mediante una solución de gestión de la seguridad de los terminales y de acceso seguro, como OPSWAT MetaDefender . Parte de las exhaustivas comprobaciones de cumplimiento normativo de los terminales asociadas a OPSWAT MetaDefender consisten en supervisar las herramientas antimalware y comprobar si se han analizado los dispositivos terminales.
Cómo funciona el antivirus Terminator Killer
En esencia, la herramienta instala un controlador vulnerable en el dispositivo afectado y aprovecha esa vulnerabilidad. Para funcionar, Terminator requiere privilegios de administrador en los sistemas Windows atacados. En primer lugar, engaña al usuario para que acepte una ventana emergente de Control de cuentas de usuario (UAC), lo que le otorga privilegios de administrador para instalar un controlador de kernel antimalware legítimo y firmado en la carpeta del sistema. A continuación, el controlador malicioso aprovecha los privilegios a nivel del kernel para eliminar los procesos en modo usuario del software antivirus y EDR que se ejecutan en el dispositivo.
Este tipo de ataque, conocido como «Bring Your Own Vulnerable Driver» (BYOVD), es muy frecuente entre los autores de amenazas. Terminator no es el único ataque BYOVD reciente. El reciente ataque del ransomware BlackByte también siguió el mismo patrón, aprovechando un controlador defectuoso para obtener privilegios de alto nivel. Otro ataque se produjo durante el tercer trimestre de 2022 y consistió en el uso indebido del controlador antitrampas de Genshin Impact para desactivar los programas antivirus. Todos estos ataques apuntan a una realidad preocupante en la que ni siquiera los controladores legítimos son totalmente fiables.
MetaDefender : la solución ZTNA más completa
Para hacer frente a estas amenazas cada vez más frecuentes, es fundamental implementar una solución capaz de supervisar y controlar el estado de seguridad de todos los dispositivos antes de que puedan acceder a aplicaciones confidenciales.
Al implementar una solución como MetaDefender , las organizaciones pueden supervisar y controlar de forma proactiva el estado de seguridad de sus dispositivos. Esto puede ayudar a detectar herramientas aparentemente legítimas, como Terminator, antes de que causen daños, garantizando que todos los dispositivos cumplan con los controles de seguridad y las normas de cumplimiento exigidos. MetaDefender también puede comprobar si sus herramientas antimalware funcionan correctamente y si se ha escaneado el dispositivo terminal.
Además, MetaDefender ofrece también una solución Network Access Control NAC) que garantiza que todas las conexiones de red y todos los dispositivos finales sean visibles y estén autorizados o bloqueados de forma adecuada en tiempo real. Con MetaDefender NAC, es posible reducir considerablemente las amenazas asociadas a incidentes de seguridad como el de Terminator.
MetaDefender NAC ofrece identificación, elaboración de perfiles y control de acceso sin agentes para todos los dispositivos que se conectan a una red. Obtiene información de dispositivos de red en línea, herramientas de gestión de identidades y accesos existentes, y del propio dispositivo.
Con MetaDefender , dispondrá de detección en tiempo real de nuevos usuarios y dispositivos, comprobaciones de cumplimiento para verificar que los dispositivos cumplen las normas corporativas y reglamentarias, integración bidireccional de herramientas de seguridad para reaccionar con rapidez y puestas en cuarentena en tiempo real ante alertas graves, y mucho más. La solución también ofrece información sobre los dispositivos mediante análisis con y sin agente, y puede actuar ante alertas de herramientas de seguridad de terceros para aislar sistemas.
Para obtener más información sobre nuestra solución, póngase en contacto con nuestros expertos en seguridad.
