Инструмент ‎Terminator‏ ‎является ‎частью ‎класса ‎атак, ‎известного‏ ‎как ‎«Принеси‏ ‎собственный‏ ‎уязвимый ‎драйвер» ‎(BYOVD).‏ ‎Эта ‎стратегия‏ ‎предполагает ‎использование ‎легитимных, ‎но‏ ‎уязвимых‏ ‎драйверов ‎для‏ ‎обхода ‎мер‏ ‎безопасности, ‎прерывания ‎процессов ‎защиты ‎от‏ ‎вирусов‏ ‎и ‎EDR‏ ‎и ‎выполнения‏ ‎вредоносных ‎действий ‎без ‎обнаружения.

Особенности ‎угрозы‏ ‎эксплуатации‏ ‎инструмента

Инструмент‏ ‎Terminator ‎представляет‏ ‎собой ‎серьезную‏ ‎угрозу ‎из-за‏ ‎своей‏ ‎способности ‎отключать‏ ‎защитные ‎решения, ‎тем ‎самым ‎способствуя‏ ‎целому ‎ряду‏ ‎вредоносных‏ ‎действий. ‎Эти ‎действия‏ ‎могут ‎варьироваться‏ ‎от ‎развертывания ‎дополнительных ‎вредоносных‏ ‎программ‏ ‎до ‎масштабной‏ ‎компрометации ‎системы‏ ‎и ‎сбоев ‎в ‎работе.

Техническая ‎сложность‏ ‎и‏ ‎проблемы ‎с‏ ‎оценкой ‎рисков

Оценить‏ ‎риск, ‎связанный ‎с ‎инструментарием ‎Terminator,‏ ‎сложно‏ ‎по‏ ‎ряду ‎причин.‏ ‎К ‎ним‏ ‎относятся ‎эволюционирующий‏ ‎характер‏ ‎инструмента, ‎разнообразие‏ ‎и ‎масштаб ‎применения, ‎а ‎также‏ ‎диапазон ‎потенциальных‏ ‎целей.‏ ‎Точный ‎процент ‎успеха‏ ‎Terminator ‎в‏ ‎компрометации ‎организаций ‎трудно ‎оценить‏ ‎количественно.‏ ‎Однако ‎его‏ ‎техническая ‎сложность‏ ‎в ‎сочетании ‎с ‎растущей ‎популярностью‏ ‎методов‏ ‎BYOVD ‎среди‏ ‎участников ‎угроз‏ ‎свидетельствует ‎о ‎растущей ‎угрозе

Кибератака ‎с‏ ‎использованием‏ ‎Terminator‏ ‎может ‎иметь‏ ‎серьезные ‎последствия‏ ‎для ‎организации.‏ ‎С‏ ‎точки ‎зрения‏ ‎операционной ‎деятельности, ‎финансовые ‎последствия ‎могут‏ ‎включать ‎значительные‏ ‎расходы‏ ‎на ‎реагирование ‎на‏ ‎инциденты, ‎восстановление‏ ‎системы, ‎судебные ‎издержки ‎и‏ ‎возможные‏ ‎штрафы ‎за‏ ‎нарушение ‎нормативных‏ ‎требований. ‎Более ‎того, ‎репутационный ‎ущерб‏ ‎от‏ ‎успешного ‎взлома‏ ‎может ‎привести‏ ‎к ‎потере ‎доверия ‎клиентов, ‎истощению‏ ‎ресурсов‏ ‎и‏ ‎невыгодному ‎положению‏ ‎в ‎конкурентной‏ ‎борьбе, ‎особенно‏ ‎в‏ ‎случае ‎утечки‏ ‎конфиденциальных ‎данных ‎или ‎их ‎фальсификации

Эволюция‏ ‎и ‎варианты‏ ‎Terminator

С‏ ‎момента ‎своего ‎первоначального‏ ‎выпуска ‎было‏ ‎разработано ‎множество ‎вариантов ‎инструмента‏ ‎Terminator,‏ ‎включая ‎версии‏ ‎с ‎открытым‏ ‎исходным ‎кодом ‎и ‎написанные ‎на‏ ‎разных‏ ‎языках ‎программирования,‏ ‎таких ‎как‏ ‎C# ‎(SharpTerminator) ‎и ‎Nim ‎(Ternimator).‏ ‎Эти‏ ‎варианты‏ ‎нацелены ‎на‏ ‎воспроизведение ‎оригинальной‏ ‎технологии ‎или‏ ‎предлагают‏ ‎кроссплатформенную ‎поддержку,‏ ‎что ‎потенциально ‎позволяет ‎обойти ‎статические‏ ‎средства ‎обнаружения‏ ‎или‏ ‎эвристические ‎модели.

Атаки ‎и‏ ‎их ‎последствия

Использование‏ ‎инструмента ‎Terminator ‎и ‎его‏ ‎разновидностей‏ ‎известно, ‎например‏ ‎заметная ‎атака‏ ‎на ‎организацию ‎здравоохранения ‎15 ‎декабря‏ ‎2023‏ ‎года. ‎В‏ ‎ходе ‎этой‏ ‎атаки ‎злоумышленники ‎попытались ‎выполнить ‎команду‏ ‎PowerShell‏ ‎для‏ ‎загрузки ‎текстового‏ ‎файла ‎с‏ ‎сервера ‎C2,‏ ‎который‏ ‎был ‎предназначен‏ ‎для ‎установки ‎XMRig ‎cryptominer ‎в‏ ‎целевой ‎системе.

Распространенные‏ ‎методы,‏ ‎используемые ‎злоумышленниками ‎для‏ ‎злоупотребления ‎инструментом‏ ‎Terminator:

1. Использование ‎легитимных, ‎но ‎уязвимых‏ ‎драйверов

Злоумышленники‏ ‎внедряют ‎легитимный‏ ‎драйвер, ‎который‏ ‎является ‎уязвимым, ‎в ‎целевую ‎систему,‏ ‎а‏ ‎затем ‎используют‏ ‎уязвимый ‎драйвер‏ ‎для ‎выполнения ‎вредоносных ‎действий. ‎Это‏ ‎основной‏ ‎принцип‏ ‎атак ‎BYOVD,‏ ‎при ‎которых‏ ‎инструмент ‎Terminator‏ ‎использует‏ ‎уязвимости ‎в‏ ‎таких ‎драйверах, ‎как ‎zam64.sys ‎(Zemana‏ ‎Anti-Logger) ‎или‏ ‎zamguard64.sys‏ ‎(Zemana ‎Anti-Malware), ‎чтобы‏ ‎получить ‎привилегии‏ ‎ядра ‎и ‎выполнить ‎предоставленный‏ ‎злоумышленником‏ ‎код ‎в‏ ‎контексте ‎ядра

2. Повышение‏ ‎привилегий ‎на ‎уровне ‎ядра

Успешная ‎эксплуатация‏ ‎позволяет‏ ‎злоумышленникам ‎добиться‏ ‎повышения ‎привилегий‏ ‎на ‎уровне ‎ядра, ‎предоставляя ‎им‏ ‎наивысший‏ ‎уровень‏ ‎доступа ‎и‏ ‎контроля ‎над‏ ‎системными ‎ресурсами.‏ ‎Эти‏ ‎повышенные ‎привилегии‏ ‎используются ‎путем ‎отключения ‎программного ‎обеспечения‏ ‎endpoint ‎security‏ ‎или‏ ‎уклонения ‎от ‎его‏ ‎обнаружения, ‎что‏ ‎позволяет ‎злоумышленникам ‎беспрепятственно ‎выполнять‏ ‎вредоносные‏ ‎действия

3. Отключение ‎защитных‏ ‎решений ‎

Как‏ ‎только ‎защита ‎endpoint ‎security ‎взломана,‏ ‎злоумышленники‏ ‎могут ‎отключить‏ ‎антивирус ‎и‏ ‎процессы ‎обнаружения ‎и ‎реагирования ‎на‏ ‎конечные‏ ‎точки‏ ‎(EDR), ‎развернуть‏ ‎дополнительное ‎вредоносное‏ ‎ПО ‎или‏ ‎выполнить‏ ‎другие ‎вредоносные‏ ‎действия ‎без ‎обнаружения. ‎Инструмент ‎Terminator‏ ‎специально ‎нацелен‏ ‎на‏ ‎процессы, ‎связанные ‎с‏ ‎решениями ‎для‏ ‎обеспечения ‎безопасности, ‎и ‎завершает‏ ‎их,‏ ‎эффективно ‎скрывая‏ ‎их ‎от‏ ‎текущих ‎атак

4. Использование ‎IOCTL-кодов

Инструмент ‎Terminator ‎и‏ ‎его‏ ‎варианты ‎используют‏ ‎коды ‎IOCTL‏ ‎(управление ‎вводом/выводом) ‎для ‎запроса ‎функциональных‏ ‎возможностей‏ ‎у‏ ‎уязвимого ‎драйвера,‏ ‎таких ‎как‏ ‎попытка ‎завершить‏ ‎целевые‏ ‎процессы. ‎Это‏ ‎включает ‎в ‎себя ‎отправку ‎определенных‏ ‎IOCTL-кодов ‎вместе‏ ‎с‏ ‎параметрами, ‎такими ‎как‏ ‎идентификатор ‎запущенного‏ ‎процесса, ‎чтобы ‎манипулировать ‎поведением‏ ‎драйвера‏ ‎в ‎интересах‏ ‎злоумышленника

5. Административные ‎привилегии‏ ‎и ‎обход ‎контроля ‎учетных ‎записей

Чтобы‏ ‎эффективно‏ ‎использовать ‎драйвер,‏ ‎злоумышленнику ‎потребуются‏ ‎административные ‎привилегии ‎и ‎возможность ‎обхода‏ ‎контроля‏ ‎учетных‏ ‎записей ‎пользователей‏ ‎(UAC), ‎или‏ ‎же ‎ему‏ ‎потребуется‏ ‎убедить ‎пользователя‏ ‎принять ‎запрос ‎UAC. ‎Это ‎требование‏ ‎подчеркивает ‎важность‏ ‎тактики‏ ‎повышения ‎привилегий ‎и‏ ‎социальной ‎инженерии‏ ‎для ‎успешного ‎развертывания ‎средства‏ ‎Terminator

6. Предотвращение‏ ‎обнаружения

Злоумышленники ‎разработали‏ ‎свои ‎методы,‏ ‎позволяющие ‎избежать ‎обнаружения ‎с ‎помощью‏ ‎средств‏ ‎защиты. ‎Например,‏ ‎инструмент ‎Terminator‏ ‎пытается ‎эмулировать ‎легитимные ‎заголовки ‎протоколов/файлов,‏ ‎чтобы‏ ‎обойти‏ ‎меры ‎безопасности,‏ ‎хотя ‎это‏ ‎и ‎не‏ ‎увенчалось‏ ‎успехом. ‎Использование‏ ‎легитимных ‎протоколов ‎и ‎служб ‎в‏ ‎качестве ‎серверов‏ ‎управления‏ ‎и ‎контроля ‎(C&‏ ‎C) ‎или‏ ‎каналов ‎связи ‎является ‎еще‏ ‎одной‏ ‎тактикой ‎для‏ ‎сокрытия ‎своих‏ ‎следов

7. Использование ‎общедоступных ‎платформ ‎и ‎протоколов

Злоумышленники‏ ‎также‏ ‎используют ‎общедоступные‏ ‎платформы ‎и‏ ‎протоколы, ‎такие ‎как ‎мессенджеры ‎(IMs)‏ ‎и‏ ‎бесплатные‏ ‎почтовые ‎сервисы,‏ ‎для ‎взаимодействия‏ ‎со ‎взломанными‏ ‎системами‏ ‎и ‎поддержания‏ ‎контроля ‎над ‎своими ‎целями. ‎Этот‏ ‎метод ‎помогает‏ ‎сочетать‏ ‎вредоносный ‎трафик ‎с‏ ‎законной ‎сетевой‏ ‎активностью, ‎что ‎усложняет ‎обнаружение

The ‎Terminator‏ ‎tool, ‎along ‎with ‎its ‎variants‏ ‎such ‎as‏ ‎SharpTerminator‏ ‎and ‎Ternimator, ‎is‏ ‎part ‎of‏ ‎a ‎class ‎of ‎attack‏ ‎known‏ ‎as ‎Bring‏ ‎Your ‎Own‏ ‎Vulnerable ‎Driver ‎(BYOVD). ‎This ‎strategy‏ ‎involves‏ ‎leveraging ‎legitimate‏ ‎but ‎vulnerable‏ ‎drivers ‎to ‎bypass ‎security ‎measures,‏ ‎terminate‏ ‎antivirus‏ ‎and ‎EDR‏ ‎processes, ‎and‏ ‎execute ‎malicious‏ ‎activities‏ ‎without ‎detection.

The‏ ‎Persistent ‎Threat ‎of ‎the ‎Terminator‏ ‎Tool

The ‎Terminator‏ ‎tool‏ ‎represents ‎a ‎significant‏ ‎threat ‎due‏ ‎to ‎its ‎ability ‎to‏ ‎disable‏ ‎security ‎solutions,‏ ‎thereby ‎facilitating‏ ‎a ‎range ‎of ‎malicious ‎activities.‏ ‎These‏ ‎activities ‎can‏ ‎range ‎from‏ ‎deploying ‎additional ‎malware ‎to ‎extensive‏ ‎system‏ ‎compromise‏ ‎and ‎operational‏ ‎disruption. ‎The‏ ‎tool ‎leverages‏ ‎the‏ ‎Bring ‎Your‏ ‎Own ‎Vulnerable ‎Driver ‎(BYOVD) ‎technique,‏ ‎exploiting ‎vulnerabilities‏ ‎in‏ ‎legitimate ‎drivers ‎to‏ ‎bypass ‎security‏ ‎measures

Technical ‎Sophistication ‎and ‎Risk‏ ‎Estimation‏ ‎Challenges

Estimating ‎the‏ ‎risk ‎posed‏ ‎by ‎the ‎Terminator ‎toolkit ‎is‏ ‎complex‏ ‎due ‎to‏ ‎several ‎variables.‏ ‎These ‎include ‎the ‎evolving ‎nature‏ ‎of‏ ‎the‏ ‎toolkit, ‎the‏ ‎diversity ‎and‏ ‎operational ‎scale‏ ‎of‏ ‎the ‎threat‏ ‎actors ‎employing ‎it, ‎and ‎the‏ ‎range ‎of‏ ‎potential‏ ‎targets. ‎The ‎exact‏ ‎success ‎rate‏ ‎of ‎Terminator ‎in ‎compromising‏ ‎organizations‏ ‎is ‎difficult‏ ‎to ‎quantify.‏ ‎However, ‎its ‎technical ‎sophistication, ‎coupled‏ ‎with‏ ‎the ‎increasing‏ ‎popularity ‎of‏ ‎BYOVD ‎techniques ‎among ‎threat ‎actors,‏ ‎suggests‏ ‎a‏ ‎growing ‎threat

The‏ ‎Evolution ‎and‏ ‎Variants ‎of‏ ‎Terminator

Since‏ ‎its ‎initial‏ ‎release, ‎multiple ‎variants ‎of ‎the‏ ‎Terminator ‎tool‏ ‎have‏ ‎been ‎developed, ‎including‏ ‎open-source ‎versions‏ ‎and ‎those ‎written ‎in‏ ‎different‏ ‎programming ‎languages‏ ‎such ‎as‏ ‎C# ‎(SharpTerminator) ‎and ‎Nim ‎(Ternimator).‏ ‎These‏ ‎variants ‎aim‏ ‎to ‎reproduce‏ ‎the ‎original ‎technique ‎or ‎offer‏ ‎cross-platform‏ ‎support,‏ ‎potentially ‎circumventing‏ ‎static ‎detections‏ ‎or ‎heuristic‏ ‎models.

Real-World‏ ‎Attacks ‎and‏ ‎Implications

The ‎use ‎of ‎the ‎Terminator‏ ‎tool ‎and‏ ‎its‏ ‎variants ‎in ‎real-world‏ ‎attacks ‎has‏ ‎been ‎documented, ‎including ‎a‏ ‎notable‏ ‎attack ‎on‏ ‎a ‎healthcare‏ ‎organization ‎on ‎December ‎15, ‎2023.‏ ‎In‏ ‎this ‎attack,‏ ‎the ‎perpetrators‏ ‎attempted ‎to ‎execute ‎a ‎PowerShell‏ ‎command‏ ‎to‏ ‎download ‎a‏ ‎text ‎file‏ ‎from ‎a‏ ‎C2‏ ‎server, ‎which‏ ‎was ‎designed ‎to ‎install ‎the‏ ‎XMRig ‎cryptominer‏ ‎on‏ ‎the ‎targeted ‎system.

Common‏ ‎techniques ‎used‏ ‎by ‎attackers ‎to ‎abuse‏ ‎the‏ ‎Terminator ‎tool:

1. Exploiting‏ ‎Legitimate ‎but‏ ‎Vulnerable ‎Drivers

Attackers ‎implant ‎a ‎legitimate‏ ‎driver,‏ ‎which ‎is‏ ‎vulnerable, ‎into‏ ‎a ‎targeted ‎system ‎and ‎then‏ ‎exploit‏ ‎the‏ ‎vulnerable ‎driver‏ ‎to ‎perform‏ ‎malicious ‎actions.‏ ‎This‏ ‎is ‎the‏ ‎core ‎principle ‎of ‎BYOVD ‎attacks,‏ ‎where ‎the‏ ‎Terminator‏ ‎tool ‎leverages ‎vulnerabilities‏ ‎in ‎drivers‏ ‎such ‎as ‎zam64.sys ‎(Zemana‏ ‎Anti-Logger)‏ ‎or ‎zamguard64.sys‏ ‎(Zemana ‎Anti-Malware)‏ ‎to ‎gain ‎kernel ‎privileges ‎and‏ ‎execute‏ ‎attacker-provided ‎code‏ ‎in ‎kernel‏ ‎context

2. Kernel-Level ‎Privilege ‎Escalation

Successful ‎exploitation ‎allows‏ ‎attackers‏ ‎to‏ ‎achieve ‎kernel-level‏ ‎privilege ‎escalation,‏ ‎granting ‎them‏ ‎the‏ ‎highest ‎level‏ ‎of ‎access ‎and ‎control ‎over‏ ‎system ‎resources.‏ ‎This‏ ‎escalated ‎privilege ‎is‏ ‎leveraged ‎by‏ ‎disabling ‎endpoint ‎security ‎software‏ ‎or‏ ‎evading ‎their‏ ‎detection, ‎thereby‏ ‎enabling ‎attackers ‎to ‎engage ‎in‏ ‎malicious‏ ‎activities ‎without‏ ‎any ‎obstruction

3. Disabling‏ ‎Security ‎Solutions

Once ‎endpoint ‎security ‎defenses‏ ‎are‏ ‎compromised,‏ ‎attackers ‎are‏ ‎free ‎to‏ ‎disable ‎antivirus‏ ‎and‏ ‎Endpoint ‎Detection‏ ‎and ‎Response ‎(EDR) ‎processes, ‎deploy‏ ‎additional ‎malware,‏ ‎or‏ ‎perform ‎other ‎malicious‏ ‎activities ‎without‏ ‎detection. ‎The ‎Terminator ‎tool‏ ‎specifically‏ ‎targets ‎and‏ ‎terminates ‎processes‏ ‎associated ‎with ‎security ‎solutions, ‎effectively‏ ‎blinding‏ ‎them ‎to‏ ‎ongoing ‎attacks

4. Use‏ ‎of ‎IOCTL ‎Codes

The ‎Terminator ‎tool‏ ‎and‏ ‎its‏ ‎variants ‎abuse‏ ‎IOCTL ‎(Input/Output‏ ‎Control) ‎codes‏ ‎to‏ ‎request ‎functionalities‏ ‎from ‎the ‎vulnerable ‎driver, ‎such‏ ‎as ‎attempting‏ ‎to‏ ‎terminate ‎targeted ‎processes.‏ ‎This ‎involves‏ ‎sending ‎specific ‎IOCTL ‎codes‏ ‎along‏ ‎with ‎parameters‏ ‎like ‎the‏ ‎process ‎ID ‎of ‎a ‎running‏ ‎process‏ ‎to ‎manipulate‏ ‎the ‎driver’s‏ ‎behavior ‎to ‎the ‎attacker’s ‎advantage

5. Administrative‏ ‎Privileges‏ ‎and‏ ‎UAC ‎Bypass

To‏ ‎abuse ‎the‏ ‎driver ‎effectively,‏ ‎a‏ ‎threat ‎actor‏ ‎would ‎need ‎administrative ‎privileges ‎and‏ ‎a ‎User‏ ‎Account‏ ‎Control ‎(UAC) ‎bypass,‏ ‎or ‎they‏ ‎would ‎need ‎to ‎convince‏ ‎a‏ ‎user ‎to‏ ‎accept ‎a‏ ‎UAC ‎prompt. ‎This ‎requirement ‎highlights‏ ‎the‏ ‎importance ‎of‏ ‎privilege ‎escalation‏ ‎tactics ‎and ‎social ‎engineering ‎in‏ ‎the‏ ‎successful‏ ‎deployment ‎of‏ ‎the ‎Terminator‏ ‎tool

6. Evading ‎Detection

Attackers‏ ‎have‏ ‎evolved ‎their‏ ‎techniques ‎to ‎evade ‎detection ‎by‏ ‎security ‎solutions.‏ ‎For‏ ‎example, ‎the ‎Terminator‏ ‎tool ‎attempts‏ ‎to ‎emulate ‎legitimate ‎protocol/file‏ ‎headers‏ ‎to ‎bypass‏ ‎security ‎measures,‏ ‎although ‎this ‎has ‎been ‎met‏ ‎with‏ ‎varying ‎degrees‏ ‎of ‎success.‏ ‎The ‎use ‎of ‎legitimate ‎protocols‏ ‎and‏ ‎services‏ ‎as ‎command-and-control‏ ‎(C& ‎C)‏ ‎servers ‎or‏ ‎communication‏ ‎channels ‎is‏ ‎another ‎tactic ‎to ‎cover ‎their‏ ‎tracks

7. Leveraging ‎Public‏ ‎Platforms‏ ‎and ‎Protocols

Attackers ‎also‏ ‎use ‎legitimate‏ ‎platforms ‎and ‎protocols, ‎such‏ ‎as‏ ‎instant ‎messengers‏ ‎(IMs) ‎and‏ ‎free ‎email ‎services, ‎to ‎communicate‏ ‎with‏ ‎compromised ‎systems‏ ‎and ‎maintain‏ ‎control ‎over ‎their ‎targets. ‎This‏ ‎technique‏ ‎helps‏ ‎to ‎blend‏ ‎malicious ‎traffic‏ ‎with ‎legitimate‏ ‎network‏ ‎activity, ‎making‏ ‎detection ‎more ‎challenging