Trong bối cảnh ngày càng phát triển của các mối đe dọa mạng, các công cụ bảo mật liên tục bị nhắm mục tiêu bởi các tác nhân độc hại. Một ví dụ hoàn hảo về điều này là "Kẻ hủy diệt", một kẻ giết người chống phần mềm độc hại được quảng bá bởi một tác nhân đe dọa được gọi là Spyboy. Công cụ này, được quảng cáo trên một diễn đàn hack nói tiếng Nga, tuyên bố chấm dứt mọi nền tảng chống vi-rút, XDR và EDR, bỏ qua 24 giải pháp bảo mật khác nhau, bao gồm Windows Defender, trên các thiết bị chạy Windows 7 trở lên.
Tuy nhiên, khi kiểm tra kỹ hơn, công cụ Terminator không phải là mối đe dọa bất khả chiến bại. Sử dụng một cơ chế tương tự như các cuộc tấn công Bring Your Own Driver (BYOD) khác, công cụ Terminator có thể được ngăn chặn bằng giải pháp quản lý bảo mật điểm cuối và truy cập an toàn như OPSWAT MetaDefender Truy cập. Các phần của kiểm tra tuân thủ điểm cuối toàn diện liên quan đến OPSWAT MetaDefender Truy cập liên quan đến việc giám sát các trình quét phòng chống mã độc và liệu các thiết bị đầu cuối đã được quét hay chưa.
Cách thức hoạt động của kẻ giết người chống vi-rút Terminator
Về cốt lõi, công cụ cài đặt trình điều khiển dễ bị tổn thương trên điểm cuối bị ảnh hưởng và khai thác lỗ hổng đó. Để hoạt động, Terminator yêu cầu đặc quyền quản trị trên các hệ thống Windows được nhắm mục tiêu. Đầu tiên, nó lừa người dùng chấp nhận cửa sổ bật lên Kiểm soát tài khoản người dùng (UAC), cung cấp cho nó đặc quyền quản trị để cài đặt trình điều khiển hạt nhân chống phần mềm độc hại hợp pháp, được ký vào thư mục hệ thống. Trình điều khiển độc hại sau đó tận dụng các đặc quyền cấp hạt nhân để giết chết các quy trình chế độ người dùng của phần mềm AV và EDR đang chạy trên thiết bị.
Kiểu tấn công này, được gọi là tấn công Bring Your Own Vulnerable Driver (BYOVD), phổ biến trong số các tác nhân đe dọa. Terminator không phải là cuộc tấn công BYOVD duy nhất gần đây. Cuộc tấn công ransomware BlackByte gần đây cũng theo mô hình tấn công tương tự, lạm dụng trình điều khiển bị lỗi để đạt được các đặc quyền cấp cao. Một cuộc tấn công khác đã xảy ra trong quý 3 năm 2022 liên quan đến việc lạm dụng trình điều khiển chống gian lận của Genshin Impact để tiêu diệt các chương trình chống vi-rút. Tất cả các cuộc tấn công này chỉ ra một thực tế đáng lo ngại khi ngay cả những người lái xe hợp pháp cũng không hoàn toàn đáng tin cậy.
MetaDefender Truy cập: Giải pháp ZTNA toàn diện nhất
Để chống lại các mối đe dọa đang gia tăng như vậy, điều quan trọng là phải sử dụng một giải pháp có thể giám sát và kiểm soát tình trạng bảo mật của tất cả các thiết bị trước khi chúng có thể truy cập các ứng dụng nhạy cảm.
Bằng cách triển khai một giải pháp như MetaDefender Truy cập, các tổ chức có thể chủ động giám sát và kiểm soát tình trạng bảo mật của thiết bị của họ. Điều này có thể giúp phát hiện các công cụ dường như hợp pháp như Terminator trước khi chúng gây hại, đảm bảo rằng tất cả các thiết bị duy trì các biện pháp kiểm soát bảo mật và tiêu chuẩn tuân thủ cần thiết. MetaDefender Access cũng có thể giám sát xem các trình quét phòng chống mã độc của bạn có đang chạy đúng cách hay không và thiết bị đầu cuối đã được quét chưa.
Ngoài ra, MetaDefender Access cũng cung cấp một Điều khiển truy cập mạng giải pháp đảm bảo rằng mọi kết nối mạng và thiết bị đầu cuối đều có thể nhìn thấy, được phép hoặc bị chặn một cách thích hợp theo thời gian thực. Với MetaDefender NAC , mối đe dọa liên quan đến các sự cố an ninh như Terminator có thể được giảm đáng kể.
MetaDefender NAC Cung cấp nhận dạng, lập hồ sơ và kiểm soát truy cập không cần tác nhân cho tất cả các thiết bị kết nối với mạng. Nó lấy thông tin từ các thiết bị mạng nội tuyến, các công cụ quản lý truy cập danh tính hiện có và chính thiết bị.
Với MetaDefender Truy cập, bạn có thể khám phá người dùng và thiết bị mới theo thời gian thực, kiểm tra tuân thủ để xác minh rằng các thiết bị đáp ứng các tiêu chuẩn của công ty và quy định, tích hợp công cụ bảo mật hai chiều để phản ứng nhanh và cách ly theo thời gian thực đối với các cảnh báo nghiêm trọng và hơn thế nữa. Giải pháp này cũng cung cấp trí thông minh thiết bị thông qua phân tích không cần tác nhân và dựa trên tác nhân và có thể hành động dựa trên các cảnh báo từ các công cụ bảo mật của bên thứ ba để cô lập hệ thống.
Để biết thêm thông tin về giải pháp của chúng tôi, hãy liên hệ với các chuyên gia bảo mật của chúng tôi.
