Terminator / BYOVD
Инструмент Terminator является частью класса атак, известного как ”Принеси собственный уязвимый драйвер” (BYOVD). Эта стратегия предполагает использование легитимных, но уязвимых драйверов для обхода мер безопасности, прерывания процессов защиты от вирусов и EDR и выполнения вредоносных действий без обнаружения.
Особенности угрозы эксплуатации инструмента
Инструмент Terminator представляет собой серьезную угрозу из-за своей способности отключать защитные решения, тем самым способствуя целому ряду вредоносных действий. Эти действия могут варьироваться от развертывания дополнительных вредоносных программ до масштабной компрометации системы и сбоев в работе.
Техническая сложность и проблемы с оценкой рисков
Оценить риск, связанный с инструментарием Terminator, сложно по ряду причин. К ним относятся эволюционирующий характер инструмента, разнообразие и масштаб применения, а также диапазон потенциальных целей. Точный процент успеха Terminator в компрометации организаций трудно оценить количественно. Однако его техническая сложность в сочетании с растущей популярностью методов BYOVD среди участников угроз свидетельствует о растущей угрозе
Кибератака с использованием Terminator может иметь серьезные последствия для организации. С точки зрения операционной деятельности, финансовые последствия могут включать значительные расходы на реагирование на инциденты, восстановление системы, судебные издержки и возможные штрафы за нарушение нормативных требований. Более того, репутационный ущерб от успешного взлома может привести к потере доверия клиентов, истощению ресурсов и невыгодному положению в конкурентной борьбе, особенно в случае утечки конфиденциальных данных или их фальсификации
Эволюция и варианты Terminator
С момента своего первоначального выпуска было разработано множество вариантов инструмента Terminator, включая версии с открытым исходным кодом и написанные на разных языках программирования, таких как C# (SharpTerminator) и Nim (Ternimator). Эти варианты нацелены на воспроизведение оригинальной технологии или предлагают кроссплатформенную поддержку, что потенциально позволяет обойти статические средства обнаружения или эвристические модели.
Использование инструмента Terminator и его разновидностей известно, например заметная атака на организацию здравоохранения 15 декабря 2023 года. В ходе этой атаки злоумышленники попытались выполнить команду PowerShell для загрузки текстового файла с сервера C2, который был предназначен для установки XMRig cryptominer в целевой системе.
Распространенные методы, используемые злоумышленниками для злоупотребления инструментом Terminator:
1. Использование легитимных, но уязвимых драйверов
Злоумышленники внедряют легитимный драйвер, который является уязвимым, в целевую систему, а затем используют уязвимый драйвер для выполнения вредоносных действий. Это основной принцип атак BYOVD, при которых инструмент Terminator использует уязвимости в таких драйверах, как zam64.sys (Zemana Anti-Logger) или zamguard64.sys (Zemana Anti-Malware), чтобы получить привилегии ядра и выполнить предоставленный злоумышленником код в контексте ядра
2. Повышение привилегий на уровне ядра
Успешная эксплуатация позволяет злоумышленникам добиться повышения привилегий на уровне ядра, предоставляя им наивысший уровень доступа и контроля над системными ресурсами. Эти повышенные привилегии используются путем отключения программного обеспечения endpoint security или уклонения от его обнаружения, что позволяет злоумышленникам беспрепятственно выполнять вредоносные действия
3. Отключение защитных решений
Как только защита endpoint security взломана, злоумышленники могут отключить антивирус и процессы обнаружения и реагирования на конечные точки (EDR), развернуть дополнительное вредоносное ПО или выполнить другие вредоносные действия без обнаружения. Инструмент Terminator специально нацелен на процессы, связанные с решениями для обеспечения безопасности, и завершает их, эффективно скрывая их от текущих атак
Инструмент Terminator и его варианты используют коды IOCTL (управление вводом/выводом) для запроса функциональных возможностей у уязвимого драйвера, таких как попытка завершить целевые процессы. Это включает в себя отправку определенных IOCTL-кодов вместе с параметрами, такими как идентификатор запущенного процесса, чтобы манипулировать поведением драйвера в интересах злоумышленника
5. Административные привилегии и обход контроля учетных записей
Чтобы эффективно использовать драйвер, злоумышленнику потребуются административные привилегии и возможность обхода контроля учетных записей пользователей (UAC), или же ему потребуется убедить пользователя принять запрос UAC. Это требование подчеркивает важность тактики повышения привилегий и социальной инженерии для успешного развертывания средства Terminator
6. Предотвращение обнаружения
Злоумышленники разработали свои методы, позволяющие избежать обнаружения с помощью средств защиты. Например, инструмент Terminator пытается эмулировать легитимные заголовки протоколов/файлов, чтобы обойти меры безопасности, хотя это и не увенчалось успехом. Использование легитимных протоколов и служб в качестве серверов управления и контроля (C& C) или каналов связи является еще одной тактикой для сокрытия своих следов
7. Использование общедоступных платформ и протоколов
Злоумышленники также используют общедоступные платформы и протоколы, такие как мессенджеры (IMs) и бесплатные почтовые сервисы, для взаимодействия со взломанными системами и поддержания контроля над своими целями. Этот метод помогает сочетать вредоносный трафик с законной сетевой активностью, что усложняет обнаружение