logo Хроники кибер-безопасника

Terminator / BYOVD

Инструмент ‎Terminator‏ ‎является ‎частью ‎класса ‎атак, ‎известного‏ ‎как ‎«Принеси‏ ‎собственный‏ ‎уязвимый ‎драйвер» ‎(BYOVD).‏ ‎Эта ‎стратегия‏ ‎предполагает ‎использование ‎легитимных, ‎но‏ ‎уязвимых‏ ‎драйверов ‎для‏ ‎обхода ‎мер‏ ‎безопасности, ‎прерывания ‎процессов ‎защиты ‎от‏ ‎вирусов‏ ‎и ‎EDR‏ ‎и ‎выполнения‏ ‎вредоносных ‎действий ‎без ‎обнаружения.

Особенности ‎угрозы‏ ‎эксплуатации‏ ‎инструмента

Инструмент‏ ‎Terminator ‎представляет‏ ‎собой ‎серьезную‏ ‎угрозу ‎из-за‏ ‎своей‏ ‎способности ‎отключать‏ ‎защитные ‎решения, ‎тем ‎самым ‎способствуя‏ ‎целому ‎ряду‏ ‎вредоносных‏ ‎действий. ‎Эти ‎действия‏ ‎могут ‎варьироваться‏ ‎от ‎развертывания ‎дополнительных ‎вредоносных‏ ‎программ‏ ‎до ‎масштабной‏ ‎компрометации ‎системы‏ ‎и ‎сбоев ‎в ‎работе.

Техническая ‎сложность‏ ‎и‏ ‎проблемы ‎с‏ ‎оценкой ‎рисков

Оценить‏ ‎риск, ‎связанный ‎с ‎инструментарием ‎Terminator,‏ ‎сложно‏ ‎по‏ ‎ряду ‎причин.‏ ‎К ‎ним‏ ‎относятся ‎эволюционирующий‏ ‎характер‏ ‎инструмента, ‎разнообразие‏ ‎и ‎масштаб ‎применения, ‎а ‎также‏ ‎диапазон ‎потенциальных‏ ‎целей.‏ ‎Точный ‎процент ‎успеха‏ ‎Terminator ‎в‏ ‎компрометации ‎организаций ‎трудно ‎оценить‏ ‎количественно.‏ ‎Однако ‎его‏ ‎техническая ‎сложность‏ ‎в ‎сочетании ‎с ‎растущей ‎популярностью‏ ‎методов‏ ‎BYOVD ‎среди‏ ‎участников ‎угроз‏ ‎свидетельствует ‎о ‎растущей ‎угрозе

Кибератака ‎с‏ ‎использованием‏ ‎Terminator‏ ‎может ‎иметь‏ ‎серьезные ‎последствия‏ ‎для ‎организации.‏ ‎С‏ ‎точки ‎зрения‏ ‎операционной ‎деятельности, ‎финансовые ‎последствия ‎могут‏ ‎включать ‎значительные‏ ‎расходы‏ ‎на ‎реагирование ‎на‏ ‎инциденты, ‎восстановление‏ ‎системы, ‎судебные ‎издержки ‎и‏ ‎возможные‏ ‎штрафы ‎за‏ ‎нарушение ‎нормативных‏ ‎требований. ‎Более ‎того, ‎репутационный ‎ущерб‏ ‎от‏ ‎успешного ‎взлома‏ ‎может ‎привести‏ ‎к ‎потере ‎доверия ‎клиентов, ‎истощению‏ ‎ресурсов‏ ‎и‏ ‎невыгодному ‎положению‏ ‎в ‎конкурентной‏ ‎борьбе, ‎особенно‏ ‎в‏ ‎случае ‎утечки‏ ‎конфиденциальных ‎данных ‎или ‎их ‎фальсификации

Эволюция‏ ‎и ‎варианты‏ ‎Terminator

С‏ ‎момента ‎своего ‎первоначального‏ ‎выпуска ‎было‏ ‎разработано ‎множество ‎вариантов ‎инструмента‏ ‎Terminator,‏ ‎включая ‎версии‏ ‎с ‎открытым‏ ‎исходным ‎кодом ‎и ‎написанные ‎на‏ ‎разных‏ ‎языках ‎программирования,‏ ‎таких ‎как‏ ‎C# ‎(SharpTerminator) ‎и ‎Nim ‎(Ternimator).‏ ‎Эти‏ ‎варианты‏ ‎нацелены ‎на‏ ‎воспроизведение ‎оригинальной‏ ‎технологии ‎или‏ ‎предлагают‏ ‎кроссплатформенную ‎поддержку,‏ ‎что ‎потенциально ‎позволяет ‎обойти ‎статические‏ ‎средства ‎обнаружения‏ ‎или‏ ‎эвристические ‎модели.

Атаки ‎и‏ ‎их ‎последствия

Использование‏ ‎инструмента ‎Terminator ‎и ‎его‏ ‎разновидностей‏ ‎известно, ‎например‏ ‎заметная ‎атака‏ ‎на ‎организацию ‎здравоохранения ‎15 ‎декабря‏ ‎2023‏ ‎года. ‎В‏ ‎ходе ‎этой‏ ‎атаки ‎злоумышленники ‎попытались ‎выполнить ‎команду‏ ‎PowerShell‏ ‎для‏ ‎загрузки ‎текстового‏ ‎файла ‎с‏ ‎сервера ‎C2,‏ ‎который‏ ‎был ‎предназначен‏ ‎для ‎установки ‎XMRig ‎cryptominer ‎в‏ ‎целевой ‎системе.

Распространенные‏ ‎методы,‏ ‎используемые ‎злоумышленниками ‎для‏ ‎злоупотребления ‎инструментом‏ ‎Terminator:

1. Использование ‎легитимных, ‎но ‎уязвимых‏ ‎драйверов

Злоумышленники‏ ‎внедряют ‎легитимный‏ ‎драйвер, ‎который‏ ‎является ‎уязвимым, ‎в ‎целевую ‎систему,‏ ‎а‏ ‎затем ‎используют‏ ‎уязвимый ‎драйвер‏ ‎для ‎выполнения ‎вредоносных ‎действий. ‎Это‏ ‎основной‏ ‎принцип‏ ‎атак ‎BYOVD,‏ ‎при ‎которых‏ ‎инструмент ‎Terminator‏ ‎использует‏ ‎уязвимости ‎в‏ ‎таких ‎драйверах, ‎как ‎zam64.sys ‎(Zemana‏ ‎Anti-Logger) ‎или‏ ‎zamguard64.sys‏ ‎(Zemana ‎Anti-Malware), ‎чтобы‏ ‎получить ‎привилегии‏ ‎ядра ‎и ‎выполнить ‎предоставленный‏ ‎злоумышленником‏ ‎код ‎в‏ ‎контексте ‎ядра

2. Повышение‏ ‎привилегий ‎на ‎уровне ‎ядра

Успешная ‎эксплуатация‏ ‎позволяет‏ ‎злоумышленникам ‎добиться‏ ‎повышения ‎привилегий‏ ‎на ‎уровне ‎ядра, ‎предоставляя ‎им‏ ‎наивысший‏ ‎уровень‏ ‎доступа ‎и‏ ‎контроля ‎над‏ ‎системными ‎ресурсами.‏ ‎Эти‏ ‎повышенные ‎привилегии‏ ‎используются ‎путем ‎отключения ‎программного ‎обеспечения‏ ‎endpoint ‎security‏ ‎или‏ ‎уклонения ‎от ‎его‏ ‎обнаружения, ‎что‏ ‎позволяет ‎злоумышленникам ‎беспрепятственно ‎выполнять‏ ‎вредоносные‏ ‎действия

3. Отключение ‎защитных‏ ‎решений ‎

Как‏ ‎только ‎защита ‎endpoint ‎security ‎взломана,‏ ‎злоумышленники‏ ‎могут ‎отключить‏ ‎антивирус ‎и‏ ‎процессы ‎обнаружения ‎и ‎реагирования ‎на‏ ‎конечные‏ ‎точки‏ ‎(EDR), ‎развернуть‏ ‎дополнительное ‎вредоносное‏ ‎ПО ‎или‏ ‎выполнить‏ ‎другие ‎вредоносные‏ ‎действия ‎без ‎обнаружения. ‎Инструмент ‎Terminator‏ ‎специально ‎нацелен‏ ‎на‏ ‎процессы, ‎связанные ‎с‏ ‎решениями ‎для‏ ‎обеспечения ‎безопасности, ‎и ‎завершает‏ ‎их,‏ ‎эффективно ‎скрывая‏ ‎их ‎от‏ ‎текущих ‎атак

4. Использование ‎IOCTL-кодов

Инструмент ‎Terminator ‎и‏ ‎его‏ ‎варианты ‎используют‏ ‎коды ‎IOCTL‏ ‎(управление ‎вводом/выводом) ‎для ‎запроса ‎функциональных‏ ‎возможностей‏ ‎у‏ ‎уязвимого ‎драйвера,‏ ‎таких ‎как‏ ‎попытка ‎завершить‏ ‎целевые‏ ‎процессы. ‎Это‏ ‎включает ‎в ‎себя ‎отправку ‎определенных‏ ‎IOCTL-кодов ‎вместе‏ ‎с‏ ‎параметрами, ‎такими ‎как‏ ‎идентификатор ‎запущенного‏ ‎процесса, ‎чтобы ‎манипулировать ‎поведением‏ ‎драйвера‏ ‎в ‎интересах‏ ‎злоумышленника

5. Административные ‎привилегии‏ ‎и ‎обход ‎контроля ‎учетных ‎записей

Чтобы‏ ‎эффективно‏ ‎использовать ‎драйвер,‏ ‎злоумышленнику ‎потребуются‏ ‎административные ‎привилегии ‎и ‎возможность ‎обхода‏ ‎контроля‏ ‎учетных‏ ‎записей ‎пользователей‏ ‎(UAC), ‎или‏ ‎же ‎ему‏ ‎потребуется‏ ‎убедить ‎пользователя‏ ‎принять ‎запрос ‎UAC. ‎Это ‎требование‏ ‎подчеркивает ‎важность‏ ‎тактики‏ ‎повышения ‎привилегий ‎и‏ ‎социальной ‎инженерии‏ ‎для ‎успешного ‎развертывания ‎средства‏ ‎Terminator

6. Предотвращение‏ ‎обнаружения

Злоумышленники ‎разработали‏ ‎свои ‎методы,‏ ‎позволяющие ‎избежать ‎обнаружения ‎с ‎помощью‏ ‎средств‏ ‎защиты. ‎Например,‏ ‎инструмент ‎Terminator‏ ‎пытается ‎эмулировать ‎легитимные ‎заголовки ‎протоколов/файлов,‏ ‎чтобы‏ ‎обойти‏ ‎меры ‎безопасности,‏ ‎хотя ‎это‏ ‎и ‎не‏ ‎увенчалось‏ ‎успехом. ‎Использование‏ ‎легитимных ‎протоколов ‎и ‎служб ‎в‏ ‎качестве ‎серверов‏ ‎управления‏ ‎и ‎контроля ‎(C&‏ ‎C) ‎или‏ ‎каналов ‎связи ‎является ‎еще‏ ‎одной‏ ‎тактикой ‎для‏ ‎сокрытия ‎своих‏ ‎следов

7. Использование ‎общедоступных ‎платформ ‎и ‎протоколов

Злоумышленники‏ ‎также‏ ‎используют ‎общедоступные‏ ‎платформы ‎и‏ ‎протоколы, ‎такие ‎как ‎мессенджеры ‎(IMs)‏ ‎и‏ ‎бесплатные‏ ‎почтовые ‎сервисы,‏ ‎для ‎взаимодействия‏ ‎со ‎взломанными‏ ‎системами‏ ‎и ‎поддержания‏ ‎контроля ‎над ‎своими ‎целями. ‎Этот‏ ‎метод ‎помогает‏ ‎сочетать‏ ‎вредоносный ‎трафик ‎с‏ ‎законной ‎сетевой‏ ‎активностью, ‎что ‎усложняет ‎обнаружение

Предыдущий Следующий
Все посты проекта

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048