-
09/04/2020
-
128
-
1.798 bài viết
Tin tặc dùng “EDR Killer” vô hiệu hóa bảo mật trước khi tung ransomware
Một xu hướng tấn công mới đang khiến giới an ninh mạng khá lo ngại, thay vì cố gắng né tránh các giải pháp bảo mật, tin tặc ngày càng chuyển sang vô hiệu hóa chúng ngay từ đầu. Theo phân tích mới nhất từ ESET, các công cụ được gọi là “EDR Killer” đang trở thành tiêu chuẩn trong hầu hết các chiến dịch ransomware hiện đại, giúp kẻ tấn công dễ dàng vượt qua lớp phòng thủ trước khi mã hóa dữ liệu.
Ảnh: Internet
Cốt lõi của vấn đề là việc các công cụ Endpoint Detection and Response (EDR) có thể bị vô hiệu hóa bởi các kỹ thuật hợp pháp bị lạm dụng. Theo nghiên cứu của các chuyên gia, tin tặc không còn tập trung vào việc làm cho ransomware “tàng hình” mà thay vào đó chúng tìm cách tắt hoàn toàn hệ thống phòng thủ trước khi triển khai mã độc.
Nguyên nhân chính nằm ở việc:
Nguyên nhân chính nằm ở việc:
- Hệ điều hành cho phép driver có quyền cao
- Một số driver hợp pháp tồn tại lỗ hổng
- Công cụ quản trị hệ thống có thể bị lạm dụng
Những yếu tố này tạo ra một “bề mặt tấn công” lý tưởng để vô hiệu hóa phần mềm bảo mật.
Cơ chế tấn công: EDR bị “vô hiệu hóa” như thế nào?
Quá trình tấn công thường diễn ra theo một kịch bản rõ ràng. Sau khi xâm nhập hệ thống (qua phishing, khai thác lỗ hổng hoặc credential theft), kẻ tấn công sẽ triển khai các công cụ EDR Killer trước khi chạy ransomware.
Phổ biến nhất là kỹ thuật BYOVD. Trong kịch bản này, tin tặc đưa vào hệ thống một driver hợp pháp nhưng có lỗ hổng, sau đó cài đặt và khai thác nó để can thiệp sâu vào hệ điều hành. Với quyền kernel, chúng có thể tắt hoặc “kill” các tiến trình bảo mật vốn được bảo vệ.
Theo thống kê, đã có khoảng 54 công cụ dạng này đang hoạt động, lợi dụng ít nhất 35 driver dễ bị khai thác khác nhau.
Không dừng lại ở đó, các phương thức tấn công đang ngày càng đa dạng. Tin tặc còn sử dụng script quản trị đơn giản để dừng dịch vụ bảo mật, hoặc lạm dụng các phần mềm anti-rootkit hợp pháp như GMER hay PC Hunter. Do các công cụ này vốn có quyền truy cập sâu vào hệ thống, chúng có thể dễ dàng bị lợi dụng để chấm dứt các tiến trình bảo mật mà không bị nghi ngờ.
Đáng chú ý hơn, một lớp công cụ mới không cần driver cũng đang xuất hiện. Các công cụ như EDRSilencer hay EDR-Freeze có thể chặn giao tiếp mạng hoặc “đóng băng” hoạt động của EDR mà không cần can thiệp vào kernel, khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Phổ biến nhất là kỹ thuật BYOVD. Trong kịch bản này, tin tặc đưa vào hệ thống một driver hợp pháp nhưng có lỗ hổng, sau đó cài đặt và khai thác nó để can thiệp sâu vào hệ điều hành. Với quyền kernel, chúng có thể tắt hoặc “kill” các tiến trình bảo mật vốn được bảo vệ.
Theo thống kê, đã có khoảng 54 công cụ dạng này đang hoạt động, lợi dụng ít nhất 35 driver dễ bị khai thác khác nhau.
Không dừng lại ở đó, các phương thức tấn công đang ngày càng đa dạng. Tin tặc còn sử dụng script quản trị đơn giản để dừng dịch vụ bảo mật, hoặc lạm dụng các phần mềm anti-rootkit hợp pháp như GMER hay PC Hunter. Do các công cụ này vốn có quyền truy cập sâu vào hệ thống, chúng có thể dễ dàng bị lợi dụng để chấm dứt các tiến trình bảo mật mà không bị nghi ngờ.
Đáng chú ý hơn, một lớp công cụ mới không cần driver cũng đang xuất hiện. Các công cụ như EDRSilencer hay EDR-Freeze có thể chặn giao tiếp mạng hoặc “đóng băng” hoạt động của EDR mà không cần can thiệp vào kernel, khiến việc phát hiện trở nên khó khăn hơn đáng kể.
Vì sao chiến thuật này nguy hiểm?
Bản chất của ransomware là hoạt động “ồn ào” vì phải mã hóa hàng loạt file trong thời gian ngắn. Điều này khiến chúng dễ bị phát hiện nếu EDR vẫn hoạt động. Thay vì cố che giấu hành vi, tin tặc chọn cách đơn giản hơn là tắt hệ thống bảo vệ trước. Chiến thuật này đặc biệt nguy hiểm vì:
- Làm mất hoàn toàn khả năng giám sát của hệ thống
- Cho phép ransomware hoạt động “tự do” mà không bị phát hiện
- Có thể thực hiện với công cụ sẵn có hoặc dễ mua trên chợ đen
Hiện nay, các chuyên gia ghi nhận gần 90 công cụ EDR Killer khác nhau đang được sử dụng ngoài thực tế, cho thấy mức độ phổ biến và hiệu quả của phương thức này.
Phạm vi ảnh hưởng và mức độ lan rộng
Các công cụ EDR Killer không thuộc riêng một nhóm tấn công nào mà được sử dụng rộng rãi trong hệ sinh thái tội phạm mạng. Một số nhóm ransomware lớn như Qilin, Medusa hay Akira được ghi nhận đã sử dụng các công cụ này thông qua mô hình “dịch vụ” trên thị trường ngầm.
Đáng chú ý, việc sử dụng driver dễ bị tổn thương để truy vết nhóm tấn công cũng trở nên kém hiệu quả. Do các công cụ này được chia sẻ và tái sử dụng rộng rãi, cùng một driver có thể xuất hiện trong nhiều chiến dịch không liên quan.
Đáng chú ý, việc sử dụng driver dễ bị tổn thương để truy vết nhóm tấn công cũng trở nên kém hiệu quả. Do các công cụ này được chia sẻ và tái sử dụng rộng rãi, cùng một driver có thể xuất hiện trong nhiều chiến dịch không liên quan.
Rủi ro và hậu quả
Khi EDR bị vô hiệu hóa, hệ thống gần như “mù” trước các hoạt động tấn công. Điều này dẫn đến hàng loạt hậu quả nghiêm trọng:
- Ransomware có thể mã hóa toàn bộ dữ liệu mà không bị phát hiện
- Dữ liệu nhạy cảm có thể bị đánh cắp trước khi mã hóa
- Doanh nghiệp mất khả năng phản ứng kịp thời
- Thiệt hại tài chính và uy tín gia tăng đáng kể
Trong nhiều trường hợp, nạn nhân chỉ phát hiện sự cố khi hệ thống đã bị khóa hoàn toàn.
Khuyến nghị từ chuyên gia
Trước xu hướng này, các chuyên gia nhấn mạnh rằng doanh nghiệp không thể chỉ dựa vào một lớp bảo vệ duy nhất. Việc triển khai chiến lược phòng thủ nhiều lớp là yêu cầu bắt buộc.
Một số biện pháp quan trọng bao gồm:
Một số biện pháp quan trọng bao gồm:
- Áp dụng chính sách kiểm soát ứng dụng để chặn driver dễ bị khai thác
- Hạn chế sử dụng và kiểm soát chặt các công cụ anti-rootkit
- Theo dõi các lệnh quản trị bất thường có dấu hiệu tắt dịch vụ bảo mật
- Giám sát các hành vi bất thường liên quan đến chặn kết nối mạng
- Tăng cường phát hiện hành vi thay vì chỉ dựa vào chữ ký
Ngoài ra, việc cập nhật hệ thống và loại bỏ các driver có lỗ hổng cũng đóng vai trò quan trọng trong việc giảm thiểu rủi ro.