Dans le paysage en constante évolution des cybermenaces, les outils de sécurité sont constamment la cible d'acteurs malveillants. Le "Terminator", un tueur de logiciels anti-malveillants promu par un acteur de la menace connu sous le nom de Spyboy, en est un parfait exemple. Cet outil, annoncé sur un forum de piratage russophone, prétend mettre fin à toute plateforme antivirus, XDR et EDR, en contournant 24 solutions de sécurité différentes, y compris Windows Defender, sur les appareils fonctionnant sous Windows 7 et les versions ultérieures.
Cependant, en y regardant de plus près, l'outil Terminator n'est pas une menace invincible. Utilisant un mécanisme similaire à d'autres attaques BYOD (Bring Your Own Driver), l'outil Terminator peut être évité grâce à une solution de gestion de la sécurité des terminaux et d'accès sécurisé telle que OPSWAT MetaDefender Access. Les contrôles complets de conformité des terminaux associés à OPSWAT MetaDefender Access consistent notamment à surveiller les outils antimalware et à vérifier si les terminaux ont été scannés.
Fonctionnement de l'antivirus Terminator
L'outil installe un pilote vulnérable sur le système affecté et exploite cette vulnérabilité. Pour fonctionner, Terminator a besoin de privilèges administratifs sur les systèmes Windows ciblés. Il commence par tromper l'utilisateur en lui faisant accepter une fenêtre contextuelle du contrôle des comptes d'utilisateurs (UAC), ce qui lui confère des privilèges administratifs pour installer un pilote de noyau anti-programme malveillant légitime et signé dans le dossier du système. Le pilote malveillant exploite ensuite les privilèges au niveau du noyau pour tuer les processus en mode utilisateur des logiciels AV et EDR fonctionnant sur l'appareil.
Ce type d'attaque, connu sous le nom d'attaque BYOVD (Bring Your Own Vulnerable Driver), est très répandu parmi les acteurs de la menace. Terminator n'est pas la seule attaque BYOVD récente. La récente attaque par ransomware BlackByte a suivi le même schéma d'attaque, exploitant un pilote défectueux pour obtenir des privilèges de haut niveau. Une autre attaque s'est produite au cours du troisième trimestre 2022. Elle consistait à utiliser le pilote anti-triche de Genshin Impact pour tuer les programmes antivirus. Toutes ces attaques témoignent d'une réalité inquiétante : même les pilotes légitimes ne sont pas totalement dignes de confiance.
MetaDefender Accès : La solution ZTNA la plus complète
Pour lutter contre ces menaces croissantes, il est essentiel d'utiliser une solution capable de surveiller et de contrôler le niveau de sécurité de tous les appareils avant qu'ils n'accèdent aux applications sensibles.
En déployant une solution telle que MetaDefender Access, les entreprises peuvent surveiller et contrôler de manière proactive le niveau de sécurité de leurs appareils. Cela permet de détecter des outils apparemment légitimes comme Terminator avant qu'ils ne causent des dommages, en veillant à ce que tous les appareils respectent les contrôles de sécurité et les normes de conformité requis. MetaDefender Access peut également vérifier si vos outils antimalware fonctionnent correctement et si le terminal a été scanné.
En outre, MetaDefender Access offre également une solution de Network Access Control NAC qui garantit que chaque connexion au réseau et chaque périphérique est visible, autorisé ou bloqué de manière appropriée en temps réel. Avec MetaDefender NAC, la menace associée aux incidents de sécurité tels que Terminator peut être considérablement réduite.
MetaDefender NAC fournit une identification, un profilage et un contrôle d'accès sans agent pour tous les appareils se connectant à un réseau. Il tire des informations des dispositifs de réseau en ligne, des outils existants de gestion de l'identité et de l'accès, et de l'appareil lui-même.
Avec MetaDefender Access, vous bénéficiez d'une découverte en temps réel des nouveaux utilisateurs et appareils, de contrôles de conformité pour vérifier que les appareils sont conformes aux normes de l'entreprise et aux normes réglementaires, d'une intégration bidirectionnelle des outils de sécurité pour des réactions rapides et de quarantaines en temps réel pour les alertes graves, et bien d'autres choses encore. La solution fournit également des informations sur les appareils par le biais d'une analyse sans agent et basée sur un agent, et peut agir sur les alertes provenant d'outils de sécurité tiers afin d'isoler les systèmes.
Pour plus d'informations sur notre solution, contactez nos experts en sécurité.
