In der sich ständig weiterentwickelnden Landschaft der Cyber-Bedrohungen geraten Sicherheits-Tools immer wieder ins Visier von böswilligen Akteuren. Ein perfektes Beispiel dafür ist der "Terminator", ein Antimalware-Killer, der von einem als Spyboy bekannten Bedrohungsakteur beworben wird. Dieses Tool, das in einem russischsprachigen Hackerforum beworben wird, behauptet, jede Antiviren-, XDR- und EDR-Plattform zu beenden und 24 verschiedene Sicherheitslösungen, einschließlich Windows Defender, auf Geräten mit Windows 7 und höher zu umgehen.
Bei näherer Betrachtung ist das Terminator-Tool jedoch keine unbesiegbare Bedrohung. Das Terminator-Tool nutzt einen ähnlichen Mechanismus wie andere BYOD-Angriffe (Bring Your Own Driver) und kann mit einer Lösung für Endpunktsicherheitsmanagement und sicheren Zugriff wie OPSWAT MetaDefender Access verhindert werden. Ein Teil der umfassenden Endpunkt-Compliance-Prüfungen, die mit OPSWAT MetaDefender Access verbunden sind, beinhaltet die Überwachung von Anti-Malware-Tools und ob die Endpunktgeräte gescannt wurden.
Funktionsweise des Terminator Anti-Virus-Killers
Im Kern installiert das Tool einen anfälligen Treiber auf dem betroffenen Endpunkt und nutzt diese Sicherheitslücke aus. Um zu funktionieren, benötigt Terminator administrative Rechte auf den betroffenen Windows-Systemen. Es verleitet den Benutzer zunächst dazu, ein Popup-Fenster der Benutzerkontensteuerung (UAC) zu akzeptieren, das ihm Administratorrechte verleiht, um einen legitimen, signierten Anti-Malware-Kerneltreiber im Systemordner zu installieren. Der bösartige Treiber nutzt dann die Rechte auf Kernel-Ebene, um die Benutzermodus-Prozesse von AV- und EDR-Software, die auf dem Gerät läuft, zu beenden.
Diese Art von Angriffen, die als BYOVD-Angriffe (Bring Your Own Vulnerable Driver) bezeichnet werden, sind bei Bedrohungsakteuren weit verbreitet. Terminator ist nicht der einzige aktuelle BYOVD-Angriff. Auch der jüngste BlackByte-Ransomware-Angriff folgte demselben Angriffsmuster, bei dem ein fehlerhafter Treiber missbraucht wurde, um hochrangige Rechte zu erlangen. Ein weiterer Angriff ereignete sich im 3. Quartal 2022, bei dem der Anti-Cheat-Treiber von Genshin Impact missbraucht wurde, um Antivirenprogramme zu töten. All diese Angriffe zeigen, dass nicht einmal legitime Treiber völlig vertrauenswürdig sind.
MetaDefender Access: Die umfassendste ZTNA-Lösung
Um solche aufkommenden Bedrohungen zu bekämpfen, ist es entscheidend, eine Lösung einzusetzen, die die Sicherheitslage aller Geräte überwachen und kontrollieren kann, bevor sie auf sensible Anwendungen zugreifen können.
Durch den Einsatz einer Lösung wie MetaDefender Access können Unternehmen die Sicherheitslage ihrer Geräte proaktiv überwachen und kontrollieren. So können scheinbar legitime Tools wie Terminator erkannt werden, bevor sie Schaden anrichten, und es kann sichergestellt werden, dass alle Geräte die erforderlichen Sicherheitskontrollen und Compliance-Standards einhalten. MetaDefender Access kann auch überwachen, ob Ihre Antimalware-Tools ordnungsgemäß ausgeführt werden und ob das Endgerät gescannt wurde.
Darüber hinaus bietet MetaDefender Access eine Network Access Control NAC)-Lösung, die sicherstellt, dass jede Netzwerkverbindung und jedes Endgerät in Echtzeit sichtbar ist und entsprechend zugelassen oder blockiert wird. Mit MetaDefender NAC kann die Bedrohung, die mit Sicherheitsvorfällen wie dem Terminator verbunden ist, erheblich reduziert werden.
MetaDefender NAC bietet eine agentenlose Identifizierung, Profilerstellung und Zugriffskontrolle für alle Geräte, die eine Verbindung zu einem Netzwerk herstellen. Die Lösung bezieht Informationen von Inline-Netzwerkgeräten, bestehenden Identitäts- und Zugriffsmanagement-Tools und dem Gerät selbst.
Mit MetaDefender Access erhalten Sie eine Echtzeit-Erkennung neuer Benutzer und Geräte, Compliance-Prüfungen, um sicherzustellen, dass die Geräte den Unternehmens- und Gesetzesstandards entsprechen, eine bidirektionale Integration von Sicherheitstools für schnelle Reaktionen und Echtzeit-Quarantäne bei schwerwiegenden Warnungen und vieles mehr. Die Lösung bietet außerdem Geräteintelligenz durch agentenlose und agentenbasierte Analysen und kann auf Warnmeldungen von Sicherheitstools anderer Anbieter reagieren, um Systeme zu isolieren.
Wenn Sie weitere Informationen über unsere Lösung wünschen, wenden Sie sich an unsere Sicherheitsexperten.
Sprechen Sie mit einem Experten
