Algunas notas y reflexiones sobre la amenaza Terminator
A lo largo de la semana ha trascendido en los medios una herramienta llamada «Terminator», la cual permitiría a atacantes deshabilitar plataformas de antivirus, EDR y XDR.
Terminator utiliza una técnica bien conocida y llamada «Bring Your Own Vulnerable Driver» (BYOVD). Se trata de una técnica que abusa drivers legítimos, pero que debido a vulnerabilidades en el mismo, un programa malicioso podría interactuar con el Driver y obligarle a ejecutar código malicioso en Ring 0 (Kernel). Este enfoque es especialmente útil para atacar sistemas que tienen defensas robustas a nivel de usuario.
La técnica BYOVD se basa en la premisa de que, si bien los sistemas operativos modernos han mejorado su seguridad para prevenir la elevación de privilegios a nivel de usuario, siguen siendo vulnerables a las amenazas que vienen del nivel del kernel. Por lo tanto, los atacantes pueden explotar drivers de dispositivo inseguros o desactualizados para obtener acceso al kernel y, por ende, control total sobre el sistema.
¿Cómo funciona Terminator?
Aunque no se conoce por el momento el código fuente del binario que abusa del driver, existen evidencias de que los drivers abusados son los siguientes:
Dichos drivers son perfectamente legítimos y firmados, por lo que su instalación en el sistema es posible si el atacante tiene:
- Permiso de Administrador Local
- Posibilidad de evadir UAC
Es decir, que para poder lanzar este ataque y desactivar el Antivirus, EDR o XDR, el atacante ya ha necesitado previamente realizar una serie de actividades que presentaría múltiples oportunidades de detección.
¿He de preocuparme por Terminator?
Realmente no parece que aporte nada que no se venga realizando desde hace años, por lo que no hay necesidad de entrar en pánico.
Sí sería preocupante una herramienta que utilizase esta misma técnica y que fuese privada y empleada de forma selectiva. No obstante, Terminator es una herramienta a la venta (o al menos promocionada para la venta), y por lo tanto altamente susceptible de «quemar» muy rápidamente los drivers vulnerables que utiliza. Aunque a fecha de hoy los drivers abusados por Terminator todavía no son masivamente detectados, es cuestión de (muy) poco tiempo que así lo sean tanto a la hora de escritura en disco como en la carga del driver.
Adicionalmente, Microsoft dispone de controles que serían de utilidad para bloquear drivers vulnerables:
Por lo que debidamente implementado y actualizado se trataría de un control eficaz para bloquear drivers conocidos como vulnerables y evitar este tipo de ataques.
¿Me puedo proteger eficazmente de ataques tipo BYOVD que exploten drivers cuyas vulnerabilidades no son conocidas?
Sí, aunque es muy improbable que los Antivirus, EDR o XDR lo detecten out of the box o que existan reglas específicas para bloquear la carga del driver vulnerable. Recordemos que este tipo de ataque ejecuta código malicioso en Ring 0, y por lo tanto tendría privilegios suficientes como para evadir dichos controles de seguridad.
Es aquí donde ganan especial relevancia servicios de Threat Hunting Proactivo, ya que un ataque de estas características tiene numerosas oportunidades de detección antes de que se ejecute código en Ring 0. El servicio de Threat Hunting que ofrecemos desde BlackArrow está constantemente analizando la telemetría generada por el EDR o XDR para detectar y cortar la cadena de ataque antes de que el incidente escale a proporciones más difícilmente gestionables.
Si desea obtener más información, no dude en ponerse en contacto con nosotros: