logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 5+ мин
logo Хроники кибер-безопасника

Terminator / BYOVD

Инструмент ‎Terminator‏ ‎является ‎частью ‎класса ‎атак, ‎известного‏ ‎как ‎«Принеси‏ ‎собственный‏ ‎уязвимый ‎драйвер» ‎(BYOVD).‏ ‎Эта ‎стратегия‏ ‎предполагает ‎использование ‎легитимных, ‎но‏ ‎уязвимых‏ ‎драйверов ‎для‏ ‎обхода ‎мер‏ ‎безопасности, ‎прерывания ‎процессов ‎защиты ‎от‏ ‎вирусов‏ ‎и ‎EDR‏ ‎и ‎выполнения‏ ‎вредоносных ‎действий ‎без ‎обнаружения.

Особенности ‎угрозы‏ ‎эксплуатации‏ ‎инструмента

Инструмент‏ ‎Terminator ‎представляет‏ ‎собой ‎серьезную‏ ‎угрозу ‎из-за‏ ‎своей‏ ‎способности ‎отключать‏ ‎защитные ‎решения, ‎тем ‎самым ‎способствуя‏ ‎целому ‎ряду‏ ‎вредоносных‏ ‎действий. ‎Эти ‎действия‏ ‎могут ‎варьироваться‏ ‎от ‎развертывания ‎дополнительных ‎вредоносных‏ ‎программ‏ ‎до ‎масштабной‏ ‎компрометации ‎системы‏ ‎и ‎сбоев ‎в ‎работе.

Техническая ‎сложность‏ ‎и‏ ‎проблемы ‎с‏ ‎оценкой ‎рисков

Оценить‏ ‎риск, ‎связанный ‎с ‎инструментарием ‎Terminator,‏ ‎сложно‏ ‎по‏ ‎ряду ‎причин.‏ ‎К ‎ним‏ ‎относятся ‎эволюционирующий‏ ‎характер‏ ‎инструмента, ‎разнообразие‏ ‎и ‎масштаб ‎применения, ‎а ‎также‏ ‎диапазон ‎потенциальных‏ ‎целей.‏ ‎Точный ‎процент ‎успеха‏ ‎Terminator ‎в‏ ‎компрометации ‎организаций ‎трудно ‎оценить‏ ‎количественно.‏ ‎Однако ‎его‏ ‎техническая ‎сложность‏ ‎в ‎сочетании ‎с ‎растущей ‎популярностью‏ ‎методов‏ ‎BYOVD ‎среди‏ ‎участников ‎угроз‏ ‎свидетельствует ‎о ‎растущей ‎угрозе

Кибератака ‎с‏ ‎использованием‏ ‎Terminator‏ ‎может ‎иметь‏ ‎серьезные ‎последствия‏ ‎для ‎организации.‏ ‎С‏ ‎точки ‎зрения‏ ‎операционной ‎деятельности, ‎финансовые ‎последствия ‎могут‏ ‎включать ‎значительные‏ ‎расходы‏ ‎на ‎реагирование ‎на‏ ‎инциденты, ‎восстановление‏ ‎системы, ‎судебные ‎издержки ‎и‏ ‎возможные‏ ‎штрафы ‎за‏ ‎нарушение ‎нормативных‏ ‎требований. ‎Более ‎того, ‎репутационный ‎ущерб‏ ‎от‏ ‎успешного ‎взлома‏ ‎может ‎привести‏ ‎к ‎потере ‎доверия ‎клиентов, ‎истощению‏ ‎ресурсов‏ ‎и‏ ‎невыгодному ‎положению‏ ‎в ‎конкурентной‏ ‎борьбе, ‎особенно‏ ‎в‏ ‎случае ‎утечки‏ ‎конфиденциальных ‎данных ‎или ‎их ‎фальсификации

Эволюция‏ ‎и ‎варианты‏ ‎Terminator

С‏ ‎момента ‎своего ‎первоначального‏ ‎выпуска ‎было‏ ‎разработано ‎множество ‎вариантов ‎инструмента‏ ‎Terminator,‏ ‎включая ‎версии‏ ‎с ‎открытым‏ ‎исходным ‎кодом ‎и ‎написанные ‎на‏ ‎разных‏ ‎языках ‎программирования,‏ ‎таких ‎как‏ ‎C# ‎(SharpTerminator) ‎и ‎Nim ‎(Ternimator).‏ ‎Эти‏ ‎варианты‏ ‎нацелены ‎на‏ ‎воспроизведение ‎оригинальной‏ ‎технологии ‎или‏ ‎предлагают‏ ‎кроссплатформенную ‎поддержку,‏ ‎что ‎потенциально ‎позволяет ‎обойти ‎статические‏ ‎средства ‎обнаружения‏ ‎или‏ ‎эвристические ‎модели.

Атаки ‎и‏ ‎их ‎последствия

Использование‏ ‎инструмента ‎Terminator ‎и ‎его‏ ‎разновидностей‏ ‎известно, ‎например‏ ‎заметная ‎атака‏ ‎на ‎организацию ‎здравоохранения ‎15 ‎декабря‏ ‎2023‏ ‎года. ‎В‏ ‎ходе ‎этой‏ ‎атаки ‎злоумышленники ‎попытались ‎выполнить ‎команду‏ ‎PowerShell‏ ‎для‏ ‎загрузки ‎текстового‏ ‎файла ‎с‏ ‎сервера ‎C2,‏ ‎который‏ ‎был ‎предназначен‏ ‎для ‎установки ‎XMRig ‎cryptominer ‎в‏ ‎целевой ‎системе.

Распространенные‏ ‎методы,‏ ‎используемые ‎злоумышленниками ‎для‏ ‎злоупотребления ‎инструментом‏ ‎Terminator:

1. Использование ‎легитимных, ‎но ‎уязвимых‏ ‎драйверов

Злоумышленники‏ ‎внедряют ‎легитимный‏ ‎драйвер, ‎который‏ ‎является ‎уязвимым, ‎в ‎целевую ‎систему,‏ ‎а‏ ‎затем ‎используют‏ ‎уязвимый ‎драйвер‏ ‎для ‎выполнения ‎вредоносных ‎действий. ‎Это‏ ‎основной‏ ‎принцип‏ ‎атак ‎BYOVD,‏ ‎при ‎которых‏ ‎инструмент ‎Terminator‏ ‎использует‏ ‎уязвимости ‎в‏ ‎таких ‎драйверах, ‎как ‎zam64.sys ‎(Zemana‏ ‎Anti-Logger) ‎или‏ ‎zamguard64.sys‏ ‎(Zemana ‎Anti-Malware), ‎чтобы‏ ‎получить ‎привилегии‏ ‎ядра ‎и ‎выполнить ‎предоставленный‏ ‎злоумышленником‏ ‎код ‎в‏ ‎контексте ‎ядра

2. Повышение‏ ‎привилегий ‎на ‎уровне ‎ядра

Успешная ‎эксплуатация‏ ‎позволяет‏ ‎злоумышленникам ‎добиться‏ ‎повышения ‎привилегий‏ ‎на ‎уровне ‎ядра, ‎предоставляя ‎им‏ ‎наивысший‏ ‎уровень‏ ‎доступа ‎и‏ ‎контроля ‎над‏ ‎системными ‎ресурсами.‏ ‎Эти‏ ‎повышенные ‎привилегии‏ ‎используются ‎путем ‎отключения ‎программного ‎обеспечения‏ ‎endpoint ‎security‏ ‎или‏ ‎уклонения ‎от ‎его‏ ‎обнаружения, ‎что‏ ‎позволяет ‎злоумышленникам ‎беспрепятственно ‎выполнять‏ ‎вредоносные‏ ‎действия

3. Отключение ‎защитных‏ ‎решений ‎

Как‏ ‎только ‎защита ‎endpoint ‎security ‎взломана,‏ ‎злоумышленники‏ ‎могут ‎отключить‏ ‎антивирус ‎и‏ ‎процессы ‎обнаружения ‎и ‎реагирования ‎на‏ ‎конечные‏ ‎точки‏ ‎(EDR), ‎развернуть‏ ‎дополнительное ‎вредоносное‏ ‎ПО ‎или‏ ‎выполнить‏ ‎другие ‎вредоносные‏ ‎действия ‎без ‎обнаружения. ‎Инструмент ‎Terminator‏ ‎специально ‎нацелен‏ ‎на‏ ‎процессы, ‎связанные ‎с‏ ‎решениями ‎для‏ ‎обеспечения ‎безопасности, ‎и ‎завершает‏ ‎их,‏ ‎эффективно ‎скрывая‏ ‎их ‎от‏ ‎текущих ‎атак

4. Использование ‎IOCTL-кодов

Инструмент ‎Terminator ‎и‏ ‎его‏ ‎варианты ‎используют‏ ‎коды ‎IOCTL‏ ‎(управление ‎вводом/выводом) ‎для ‎запроса ‎функциональных‏ ‎возможностей‏ ‎у‏ ‎уязвимого ‎драйвера,‏ ‎таких ‎как‏ ‎попытка ‎завершить‏ ‎целевые‏ ‎процессы. ‎Это‏ ‎включает ‎в ‎себя ‎отправку ‎определенных‏ ‎IOCTL-кодов ‎вместе‏ ‎с‏ ‎параметрами, ‎такими ‎как‏ ‎идентификатор ‎запущенного‏ ‎процесса, ‎чтобы ‎манипулировать ‎поведением‏ ‎драйвера‏ ‎в ‎интересах‏ ‎злоумышленника

5. Административные ‎привилегии‏ ‎и ‎обход ‎контроля ‎учетных ‎записей

Чтобы‏ ‎эффективно‏ ‎использовать ‎драйвер,‏ ‎злоумышленнику ‎потребуются‏ ‎административные ‎привилегии ‎и ‎возможность ‎обхода‏ ‎контроля‏ ‎учетных‏ ‎записей ‎пользователей‏ ‎(UAC), ‎или‏ ‎же ‎ему‏ ‎потребуется‏ ‎убедить ‎пользователя‏ ‎принять ‎запрос ‎UAC. ‎Это ‎требование‏ ‎подчеркивает ‎важность‏ ‎тактики‏ ‎повышения ‎привилегий ‎и‏ ‎социальной ‎инженерии‏ ‎для ‎успешного ‎развертывания ‎средства‏ ‎Terminator

6. Предотвращение‏ ‎обнаружения

Злоумышленники ‎разработали‏ ‎свои ‎методы,‏ ‎позволяющие ‎избежать ‎обнаружения ‎с ‎помощью‏ ‎средств‏ ‎защиты. ‎Например,‏ ‎инструмент ‎Terminator‏ ‎пытается ‎эмулировать ‎легитимные ‎заголовки ‎протоколов/файлов,‏ ‎чтобы‏ ‎обойти‏ ‎меры ‎безопасности,‏ ‎хотя ‎это‏ ‎и ‎не‏ ‎увенчалось‏ ‎успехом. ‎Использование‏ ‎легитимных ‎протоколов ‎и ‎служб ‎в‏ ‎качестве ‎серверов‏ ‎управления‏ ‎и ‎контроля ‎(C&‏ ‎C) ‎или‏ ‎каналов ‎связи ‎является ‎еще‏ ‎одной‏ ‎тактикой ‎для‏ ‎сокрытия ‎своих‏ ‎следов

7. Использование ‎общедоступных ‎платформ ‎и ‎протоколов

Злоумышленники‏ ‎также‏ ‎используют ‎общедоступные‏ ‎платформы ‎и‏ ‎протоколы, ‎такие ‎как ‎мессенджеры ‎(IMs)‏ ‎и‏ ‎бесплатные‏ ‎почтовые ‎сервисы,‏ ‎для ‎взаимодействия‏ ‎со ‎взломанными‏ ‎системами‏ ‎и ‎поддержания‏ ‎контроля ‎над ‎своими ‎целями. ‎Этот‏ ‎метод ‎помогает‏ ‎сочетать‏ ‎вредоносный ‎трафик ‎с‏ ‎законной ‎сетевой‏ ‎активностью, ‎что ‎усложняет ‎обнаружение

Читать: 5+ мин
logo Overkill Security

SharpTerminator

The ‎Terminator‏ ‎tool, ‎along ‎with ‎its ‎variants‏ ‎such ‎as‏ ‎SharpTerminator‏ ‎and ‎Ternimator, ‎is‏ ‎part ‎of‏ ‎a ‎class ‎of ‎attack‏ ‎known‏ ‎as ‎Bring‏ ‎Your ‎Own‏ ‎Vulnerable ‎Driver ‎(BYOVD). ‎This ‎strategy‏ ‎involves‏ ‎leveraging ‎legitimate‏ ‎but ‎vulnerable‏ ‎drivers ‎to ‎bypass ‎security ‎measures,‏ ‎terminate‏ ‎antivirus‏ ‎and ‎EDR‏ ‎processes, ‎and‏ ‎execute ‎malicious‏ ‎activities‏ ‎without ‎detection.

The‏ ‎Persistent ‎Threat ‎of ‎the ‎Terminator‏ ‎Tool

The ‎Terminator‏ ‎tool‏ ‎represents ‎a ‎significant‏ ‎threat ‎due‏ ‎to ‎its ‎ability ‎to‏ ‎disable‏ ‎security ‎solutions,‏ ‎thereby ‎facilitating‏ ‎a ‎range ‎of ‎malicious ‎activities.‏ ‎These‏ ‎activities ‎can‏ ‎range ‎from‏ ‎deploying ‎additional ‎malware ‎to ‎extensive‏ ‎system‏ ‎compromise‏ ‎and ‎operational‏ ‎disruption. ‎The‏ ‎tool ‎leverages‏ ‎the‏ ‎Bring ‎Your‏ ‎Own ‎Vulnerable ‎Driver ‎(BYOVD) ‎technique,‏ ‎exploiting ‎vulnerabilities‏ ‎in‏ ‎legitimate ‎drivers ‎to‏ ‎bypass ‎security‏ ‎measures

Technical ‎Sophistication ‎and ‎Risk‏ ‎Estimation‏ ‎Challenges

Estimating ‎the‏ ‎risk ‎posed‏ ‎by ‎the ‎Terminator ‎toolkit ‎is‏ ‎complex‏ ‎due ‎to‏ ‎several ‎variables.‏ ‎These ‎include ‎the ‎evolving ‎nature‏ ‎of‏ ‎the‏ ‎toolkit, ‎the‏ ‎diversity ‎and‏ ‎operational ‎scale‏ ‎of‏ ‎the ‎threat‏ ‎actors ‎employing ‎it, ‎and ‎the‏ ‎range ‎of‏ ‎potential‏ ‎targets. ‎The ‎exact‏ ‎success ‎rate‏ ‎of ‎Terminator ‎in ‎compromising‏ ‎organizations‏ ‎is ‎difficult‏ ‎to ‎quantify.‏ ‎However, ‎its ‎technical ‎sophistication, ‎coupled‏ ‎with‏ ‎the ‎increasing‏ ‎popularity ‎of‏ ‎BYOVD ‎techniques ‎among ‎threat ‎actors,‏ ‎suggests‏ ‎a‏ ‎growing ‎threat

The‏ ‎Evolution ‎and‏ ‎Variants ‎of‏ ‎Terminator

Since‏ ‎its ‎initial‏ ‎release, ‎multiple ‎variants ‎of ‎the‏ ‎Terminator ‎tool‏ ‎have‏ ‎been ‎developed, ‎including‏ ‎open-source ‎versions‏ ‎and ‎those ‎written ‎in‏ ‎different‏ ‎programming ‎languages‏ ‎such ‎as‏ ‎C# ‎(SharpTerminator) ‎and ‎Nim ‎(Ternimator).‏ ‎These‏ ‎variants ‎aim‏ ‎to ‎reproduce‏ ‎the ‎original ‎technique ‎or ‎offer‏ ‎cross-platform‏ ‎support,‏ ‎potentially ‎circumventing‏ ‎static ‎detections‏ ‎or ‎heuristic‏ ‎models.

Real-World‏ ‎Attacks ‎and‏ ‎Implications

The ‎use ‎of ‎the ‎Terminator‏ ‎tool ‎and‏ ‎its‏ ‎variants ‎in ‎real-world‏ ‎attacks ‎has‏ ‎been ‎documented, ‎including ‎a‏ ‎notable‏ ‎attack ‎on‏ ‎a ‎healthcare‏ ‎organization ‎on ‎December ‎15, ‎2023.‏ ‎In‏ ‎this ‎attack,‏ ‎the ‎perpetrators‏ ‎attempted ‎to ‎execute ‎a ‎PowerShell‏ ‎command‏ ‎to‏ ‎download ‎a‏ ‎text ‎file‏ ‎from ‎a‏ ‎C2‏ ‎server, ‎which‏ ‎was ‎designed ‎to ‎install ‎the‏ ‎XMRig ‎cryptominer‏ ‎on‏ ‎the ‎targeted ‎system.

Common‏ ‎techniques ‎used‏ ‎by ‎attackers ‎to ‎abuse‏ ‎the‏ ‎Terminator ‎tool:

1. Exploiting‏ ‎Legitimate ‎but‏ ‎Vulnerable ‎Drivers

Attackers ‎implant ‎a ‎legitimate‏ ‎driver,‏ ‎which ‎is‏ ‎vulnerable, ‎into‏ ‎a ‎targeted ‎system ‎and ‎then‏ ‎exploit‏ ‎the‏ ‎vulnerable ‎driver‏ ‎to ‎perform‏ ‎malicious ‎actions.‏ ‎This‏ ‎is ‎the‏ ‎core ‎principle ‎of ‎BYOVD ‎attacks,‏ ‎where ‎the‏ ‎Terminator‏ ‎tool ‎leverages ‎vulnerabilities‏ ‎in ‎drivers‏ ‎such ‎as ‎zam64.sys ‎(Zemana‏ ‎Anti-Logger)‏ ‎or ‎zamguard64.sys‏ ‎(Zemana ‎Anti-Malware)‏ ‎to ‎gain ‎kernel ‎privileges ‎and‏ ‎execute‏ ‎attacker-provided ‎code‏ ‎in ‎kernel‏ ‎context

2. Kernel-Level ‎Privilege ‎Escalation

Successful ‎exploitation ‎allows‏ ‎attackers‏ ‎to‏ ‎achieve ‎kernel-level‏ ‎privilege ‎escalation,‏ ‎granting ‎them‏ ‎the‏ ‎highest ‎level‏ ‎of ‎access ‎and ‎control ‎over‏ ‎system ‎resources.‏ ‎This‏ ‎escalated ‎privilege ‎is‏ ‎leveraged ‎by‏ ‎disabling ‎endpoint ‎security ‎software‏ ‎or‏ ‎evading ‎their‏ ‎detection, ‎thereby‏ ‎enabling ‎attackers ‎to ‎engage ‎in‏ ‎malicious‏ ‎activities ‎without‏ ‎any ‎obstruction

3. Disabling‏ ‎Security ‎Solutions

Once ‎endpoint ‎security ‎defenses‏ ‎are‏ ‎compromised,‏ ‎attackers ‎are‏ ‎free ‎to‏ ‎disable ‎antivirus‏ ‎and‏ ‎Endpoint ‎Detection‏ ‎and ‎Response ‎(EDR) ‎processes, ‎deploy‏ ‎additional ‎malware,‏ ‎or‏ ‎perform ‎other ‎malicious‏ ‎activities ‎without‏ ‎detection. ‎The ‎Terminator ‎tool‏ ‎specifically‏ ‎targets ‎and‏ ‎terminates ‎processes‏ ‎associated ‎with ‎security ‎solutions, ‎effectively‏ ‎blinding‏ ‎them ‎to‏ ‎ongoing ‎attacks

4. Use‏ ‎of ‎IOCTL ‎Codes

The ‎Terminator ‎tool‏ ‎and‏ ‎its‏ ‎variants ‎abuse‏ ‎IOCTL ‎(Input/Output‏ ‎Control) ‎codes‏ ‎to‏ ‎request ‎functionalities‏ ‎from ‎the ‎vulnerable ‎driver, ‎such‏ ‎as ‎attempting‏ ‎to‏ ‎terminate ‎targeted ‎processes.‏ ‎This ‎involves‏ ‎sending ‎specific ‎IOCTL ‎codes‏ ‎along‏ ‎with ‎parameters‏ ‎like ‎the‏ ‎process ‎ID ‎of ‎a ‎running‏ ‎process‏ ‎to ‎manipulate‏ ‎the ‎driver’s‏ ‎behavior ‎to ‎the ‎attacker’s ‎advantage

5. Administrative‏ ‎Privileges‏ ‎and‏ ‎UAC ‎Bypass

To‏ ‎abuse ‎the‏ ‎driver ‎effectively,‏ ‎a‏ ‎threat ‎actor‏ ‎would ‎need ‎administrative ‎privileges ‎and‏ ‎a ‎User‏ ‎Account‏ ‎Control ‎(UAC) ‎bypass,‏ ‎or ‎they‏ ‎would ‎need ‎to ‎convince‏ ‎a‏ ‎user ‎to‏ ‎accept ‎a‏ ‎UAC ‎prompt. ‎This ‎requirement ‎highlights‏ ‎the‏ ‎importance ‎of‏ ‎privilege ‎escalation‏ ‎tactics ‎and ‎social ‎engineering ‎in‏ ‎the‏ ‎successful‏ ‎deployment ‎of‏ ‎the ‎Terminator‏ ‎tool

6. Evading ‎Detection

Attackers‏ ‎have‏ ‎evolved ‎their‏ ‎techniques ‎to ‎evade ‎detection ‎by‏ ‎security ‎solutions.‏ ‎For‏ ‎example, ‎the ‎Terminator‏ ‎tool ‎attempts‏ ‎to ‎emulate ‎legitimate ‎protocol/file‏ ‎headers‏ ‎to ‎bypass‏ ‎security ‎measures,‏ ‎although ‎this ‎has ‎been ‎met‏ ‎with‏ ‎varying ‎degrees‏ ‎of ‎success.‏ ‎The ‎use ‎of ‎legitimate ‎protocols‏ ‎and‏ ‎services‏ ‎as ‎command-and-control‏ ‎(C& ‎C)‏ ‎servers ‎or‏ ‎communication‏ ‎channels ‎is‏ ‎another ‎tactic ‎to ‎cover ‎their‏ ‎tracks

7. Leveraging ‎Public‏ ‎Platforms‏ ‎and ‎Protocols

Attackers ‎also‏ ‎use ‎legitimate‏ ‎platforms ‎and ‎protocols, ‎such‏ ‎as‏ ‎instant ‎messengers‏ ‎(IMs) ‎and‏ ‎free ‎email ‎services, ‎to ‎communicate‏ ‎with‏ ‎compromised ‎systems‏ ‎and ‎maintain‏ ‎control ‎over ‎their ‎targets. ‎This‏ ‎technique‏ ‎helps‏ ‎to ‎blend‏ ‎malicious ‎traffic‏ ‎with ‎legitimate‏ ‎network‏ ‎activity, ‎making‏ ‎detection ‎more ‎challenging

Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048