在網路威脅不斷演進的情況下,安全工具也不斷成為惡意份子的目標。終結者」就是一個完美的例子,它是由一個名為 Spyboy 的威脅份子所宣傳的反惡意軟體殺手。這個在俄語駭客論壇上宣傳的工具,聲稱可以終止任何防毒、XDR 和 EDR 平台,繞過 24 種不同的安全解決方案,包括 Windows Defender,在執行 Windows 7 及更新版本的裝置上。
然而,仔細觀察之後,終結者工具並非不可戰勝的威脅。利用類似其他自備驅動程式 (BYOD) 攻擊的機制,終結者工具可以透過端點安全管理和安全存取解決方案 (例如OPSWAT MetaDefender Access) 加以預防。與OPSWAT MetaDefender Access 相關的全面端點合規性檢查包括監控反惡意軟體工具以及端點裝置是否已被掃描。
終結者防毒殺手如何運作
該工具的核心是在受影響的端點上安裝有漏洞的驅動程式,並利用該漏洞。終結者需要目標 Windows 系統的管理權限才能運作。它首先欺騙使用者接受使用者帳戶控制 (UAC) 彈出式視窗,賦予其管理權限,將合法、已簽署的反惡意軟體核心驅動程式安裝到系統資料夾。然後,惡意驅動程式會利用核心層級的權限,殺死裝置上執行的 AV 和 EDR 軟體的使用者模式進程。
這類型的攻擊稱為自備脆弱驅動程式 (BYOVD) 攻擊,在威脅者之間非常普遍。終結者並非近期唯一的 BYOVD 攻擊。最近的BlackByte 勒索軟體攻擊也遵循相同的攻擊模式,濫用有問題的驅動程式來取得高階權限。另一次攻擊發生在 2022 年第三季,涉及濫用 Genshin Impact 的反作弊驅動程式來殺死防毒程式。所有這些攻擊都指向一個令人憂慮的現實,那就是即使是合法的驅動程式也並非完全值得信任。
MetaDefender Access:最全面的 ZTNA 解決方案
為了對抗這些不斷增加的威脅,必須採用一套解決方案,在所有裝置存取敏感應用程式之前,監控它們的安全狀態。
透過部署類似MetaDefender Access 的解決方案,組織可以主動監控其裝置的安全狀況。這有助於在終結者等看似合法的工具造成危害之前就偵測出來,確保所有裝置都能維持所需的安全控制與合規標準。MetaDefender Access 也可以監控您的防惡意軟體工具是否正常執行,以及端點裝置是否已被掃描。
此外,MetaDefender Access 還提供Network Access Control NAC) 解決方案,可確保每個網路連線和端點裝置都能即時、適當地顯示、允許或封鎖。透過MetaDefender NAC,可大幅降低與終結者等安全事件相關的威脅。
MetaDefender NAC 為所有連接到網路的裝置提供無代理的識別、剖析和存取控制。它可以從線上網路裝置、現有的身分存取管理工具和裝置本身取得資訊。
有了MetaDefender Access,您可以即時發現新使用者和裝置、進行合規性檢查以驗證裝置是否符合企業和法規標準、進行雙向安全工具整合以快速反應,以及即時隔離嚴重警示等。該解決方案還可透過無代理及代理式分析提供裝置情報,並可對來自第三方安全工具的警示採取行動,以隔離系統。
如需我們解決方案的詳細資訊,請聯絡我們的安全專家。
