En los últimos días, medios de comunicación digitales han informado acerca de una herramienta maliciosa llamada Terminator, la cual ha captado la atención de muchas personas y expertos en seguridad informática.
Según la información que se maneja, dicha amenaza permite a los hackers maliciosos deshabilitar plataformas de antivirus, EDR o Detección y Respuesta de Endpoints, por sus siglas en inglés, y XDR, también conocida como Detección y Respuesta Extendida.
Terminator se basa en una técnica bien conocida denominada “Bring Your Own Vulnerable Driver” o BYOVD, que explota vulnerabilidades en drivers legítimos. Mediante esta técnica, un software corrupto puede interactuar con los drivers y forzar la ejecución de código malicioso en Ring 0, conocido como el Kernel o núcleo. Esto resulta especialmente útil para atacar sistemas con defensas robustas a nivel de usuario.
La técnica BYOVD se basa en la premisa de que, si bien los sistemas operativos modernos han mejorado su seguridad para prevenir la elevación de privilegios a nivel de usuario, siguen siendo vulnerables a las amenazas provenientes del nivel del kernel.
Por esta razón, los actores maliciosos pueden aprovechar los drivers de equipos inseguros o desactualizadospara obtener acceso al kernel y, por ende, obtener control total sobre el sistema.
TIC Defense tiene para tu empresa un conjunto de soluciones de primer nivel, las cuales van a robustecer y complementar sus sistemas de seguridad. Las herramientas que proporcionamos se adaptan a las necesidades de la organización, enfocándose en la prevención de amenazas y de brechas de seguridad.
En cuanto al funcionamiento específico de la herramienta maliciosa Terminator, aunque no se dispone actualmente del código fuente que compromete los drivers, sí se han identificado algunos que han sido objeto de vulneración.
Estos drivers son legítimos y están debidamente firmados digitalmente, por lo que su instalación en el sistema operativo es posible si el hacker cuenta con permisos de Administrador Local y la capacidad de evadir el Control de Cuentas de Usuario o UAC, por sus siglas en inglés.
Es importante tener en cuenta que para lanzar este tipo de ataque y desactivar el antivirus, EDR o XDR, el atacante ya debe haber realizado una serie de actividades previas que presentarían múltiples oportunidades de detección.
En cuanto a la preocupación por Terminator, en realidad no parece aportar algo novedoso, en comparación con las técnicas que se han utilizado durante años. Por ello, no hay necesidad de que te alarmes o que entres en pánico.
Lo que sería más preocupante es que dicho software malicioso utilice esta misma técnica de forma privada y selectiva. No obstante, Terminator se ofrece a la venta, lo que significa que es probable que los drivers vulnerables que emplea, sean detectados y bloqueados rápidamente.
Aunque hasta la fecha no se han detectado los drivers comprometidos por Terminator de forma masiva, es solo cuestión de tiempo que suceda esto, tanto en la escritura en disco como en la carga de los drivers.
El gigante tecnológico Microsoft ha implementado controles que podrían ser útiles para bloquear drivers vulnerables, siempre y cuando estén debidamente implementados y actualizados. Dichos controles podrían prevenir este tipo de ciberataques al bloquear drivers conocidos por sus vulnerabilidades.
Los servicios de Threat Hunting Proactivo podrían ser una solución eficaz para la amenaza Terminator, ya que un ataque de estas características presenta numerosas oportunidades de detección antes de que se ejecute el código en el kernel.
