Mối đe dọa mạng nghiêm trọng: Vô hiệu hóa EDR qua VPN
Gần đây, các mối đe dọa mạng đã và đang tích cực khai thác thông tin đăng nhập SonicWall SSLVPN bị đánh cắp để xâm nhập vào các mạng doanh nghiệp. Mục tiêu chính là triển khai một công cụ “EDR killer” tinh vi, được thiết kế để vô hiệu hóa hoàn toàn các giải pháp bảo mật điểm cuối (EDR).
Trong một phân tích chi tiết được Huntress công bố vào đầu tháng 2 năm 2026, các tác nhân tấn công đã sử dụng tài khoản VPN hợp lệ để giành quyền truy cập ban đầu. Sau đó, chúng tiến hành một cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD) bằng cách lợi dụng một driver pháp y đã bị thu hồi của Guidance Software (EnCase).
Kỹ thuật đặc biệt này cho phép kẻ tấn công chấm dứt các tiến trình bảo mật quan trọng trực tiếp từ cấp độ kernel. Điều này giúp chúng hiệu quả bỏ qua các cơ chế bảo vệ tiêu chuẩn và duy trì quyền kiểm soát.
Chiến dịch Mối đe dọa Mạng: Khai thác VPN và Bypass EDR
Truy cập ban đầu qua SonicWall SSLVPN
Quá trình xâm nhập bắt đầu bằng việc tác nhân tấn công xác thực vào SonicWall SSLVPN sử dụng thông tin đăng nhập đã bị đánh cắp nhưng vẫn hoàn toàn hợp lệ. Phương pháp này giúp chúng loại bỏ nhu cầu thực hiện các cuộc tấn công brute-force hoặc khai thác lỗ hổng phần mềm, trực tiếp giành quyền truy cập.
Huntress đã ghi nhận đăng nhập thành công có nguồn gốc từ địa chỉ IP độc hại 69.10.60[.]250. Chỉ một phút trước đó, nhật ký đã ghi lại một nỗ lực đăng nhập cổng thông tin không thành công từ một địa chỉ IP khác là 193.160.216[.]221, nơi tài khoản sử dụng thiếu đặc quyền cần thiết. Điều này cho thấy kẻ tấn công có thể đã thử nhiều tài khoản hoặc IP khác nhau trước khi thành công.
Việc sử dụng thông tin đăng nhập hợp lệ khiến việc phát hiện các cuộc tấn công này trở nên phức tạp hơn, vì chúng không tạo ra các dấu hiệu điển hình của một cuộc tấn công xâm nhập trái phép.
Giai đoạn trinh sát mạng chuyên sâu
Ngay sau khi xâm nhập thành công vào mạng nội bộ, kẻ tấn công lập tức khởi xướng các hành động trinh sát mạng với cường độ cao. Các cảnh báo từ hệ thống Ngăn chặn Xâm nhập (IPS) của SonicWall đã ghi nhận các hoạt động với khối lượng lớn. Điều này bao gồm quét ping ICMP để xác định các máy chủ đang hoạt động và dò tìm NetBIOS để thu thập thông tin về tên mạng và dịch vụ.
Ngoài ra, kẻ tấn công còn kích hoạt hành vi SYN flood, tạo ra lưu lượng truy cập vượt quá 370 SYNs/giây. Mục đích của hành vi này là để lập bản đồ chi tiết môi trường mạng nội bộ, xác định các thiết bị, dịch vụ và cấu trúc liên kết. Hoạt động trinh sát chuyên sâu này là bước đệm quan trọng để kẻ tấn công lên kế hoạch cho giai đoạn tấn công tiếp theo trên hệ thống bị xâm nhập.
Chiến thuật BYOVD và Payload “EDR Killer”
Cơ chế mã hóa tinh vi của mã độc
Trọng tâm của cuộc tấn công xoay quanh một tệp thực thi Windows 64-bit được thiết kế đặc biệt để triển khai một driver kernel độc hại. Để tránh bị các công cụ phân tích tĩnh phát hiện, các tác giả của mã độc đã triển khai một lược đồ mã hóa tùy chỉnh độc đáo, nhằm che giấu payload driver.
Thay vì sử dụng các phương pháp mã hóa tiêu chuẩn, tệp nhị phân này sử dụng một từ điển gồm 256 từ. Trong đó, mỗi từ tiếng Anh sẽ đại diện cho một giá trị byte cụ thể. Ví dụ, từ “about” được giải mã thành giá trị 0x00 và từ “block” giải mã thành 0x4D. Kỹ thuật thay thế từ điển này khiến cho việc phân tích tự động trở nên khó khăn hơn.
Khi được thực thi, mã độc sẽ giải mã “văn bản” này trở lại thành một tệp Windows PE hợp lệ và lưu trữ nó tại đường dẫn C:\ProgramData\OEM\Firmware\OemHwUpd.sys trên hệ thống mục tiêu.
Kỹ thuật Timestomping và duy trì tồn tại
Để tăng cường khả năng ẩn mình và né tránh các công cụ điều tra pháp lý, mã độc đã áp dụng kỹ thuật “timestomping”. Kỹ thuật này hoạt động bằng cách sao chép dấu thời gian (creation, modification, access times) từ một tệp hệ thống hợp pháp, chẳng hạn như ntdll.dll, sang driver độc hại mới được thả.
Bằng cách thay đổi dấu thời gian, driver độc hại có vẻ ngoài giống như một phần của hệ thống chính hãng, làm phức tạp quá trình phát hiện. Sau đó, payload tự đăng ký làm một dịch vụ kernel có tên “OEM Hardware HAL Service” để đảm bảo rằng nó sẽ tự động khởi động cùng hệ điều hành, duy trì khả năng tồn tại trên các lần khởi động lại hệ thống.
Vượt qua kiểm soát chữ ký driver Windows (DSE)
Lỗ hổng trong quy trình xác thực driver
Điểm mấu chốt của cuộc tấn công này là việc lợi dụng một lỗ hổng đã được biết đến trong cơ chế Windows Driver Signature Enforcement (DSE). DSE được thiết kế để ngăn chặn việc tải các driver không có chữ ký hoặc chữ ký không hợp lệ, nhằm bảo vệ tính toàn vẹn của kernel hệ điều hành.
Tuy nhiên, driver được triển khai trong chiến dịch này là một thành phần hợp pháp của bộ pháp y EnCase của Guidance Software, cụ thể là tệp EnPortv.sys. Driver này đã được ký bằng một chứng chỉ hết hạn vào năm 2010 và sau đó đã bị thu hồi.
Mặc dù chứng chỉ đã hết hạn và bị thu hồi, Windows vẫn có thể tải driver này. Lý do là kernel của Windows chủ yếu xác thực tính toàn vẹn mật mã của chữ ký tại thời điểm ký, chứ không kiểm tra Danh sách Thu hồi Chứng chỉ (CRL) một cách nghiêm ngặt trong quá trình khởi động. Hơn nữa, driver này đáp ứng ngoại lệ cũ của Microsoft dành cho các driver được ký bởi một cơ quan đáng tin cậy và được đóng dấu thời gian trước ngày 29 tháng 7 năm 2015.
Điều này cho phép kẻ tấn công tải driver thành công và phơi bày một giao diện IOCTL (0x223078), cung cấp một kênh giao tiếp mạnh mẽ từ các tiến trình ở chế độ người dùng đến driver trong kernel. Để hiểu rõ hơn về kỹ thuật này, bạn có thể tham khảo phân tích chi tiết từ Huntress: https://www.huntress.com/blog/encase-byovd-edr-killer.
Tác động kernel-level: Vô hiệu hóa các giải pháp bảo mật mạng
Sau khi được tải thành công vào kernel, driver độc hại cấp cho kẻ tấn công khả năng chấm dứt các tiến trình được bảo vệ bởi các cơ chế mạnh mẽ như Protected Process Light (PPL). PPL là một tính năng bảo mật của Windows, được thiết kế để bảo vệ các tiến trình quan trọng, đặc biệt là các tiến trình của giải pháp bảo mật mạng, khỏi bị can thiệp bởi các tiến trình độc hại ở chế độ người dùng.
Mã độc này nhắm mục tiêu vào một danh sách cố định gồm 59 tiến trình được liên kết với các nhà cung cấp bảo mật lớn hàng đầu, bao gồm Microsoft Defender, CrowdStrike, SentinelOne và Carbon Black. Khả năng vô hiệu hóa EDR từ cấp độ kernel là một kỹ thuật cực kỳ nguy hiểm, cho phép kẻ tấn công hoạt động mà không bị phát hiện.
Vòng lặp tiêu diệt các tiến trình bảo mật chạy liên tục với khoảng thời gian tạm dừng một giây. Điều này đảm bảo rằng bất kỳ dịch vụ bảo mật nào cố gắng khởi động lại cũng sẽ bị chấm dứt ngay lập tức, duy trì trạng thái hệ thống không được bảo vệ. Đây là một minh chứng rõ ràng về mức độ tinh vi và nguy hiểm của mối đe dọa mạng này.
Chỉ số thỏa hiệp (IOCs)
Để hỗ trợ các nhà phân tích và quản trị viên hệ thống trong việc phát hiện và ứng phó với chiến dịch tấn công này, dưới đây là các Chỉ số thỏa hiệp (IOCs) đã được xác định:
- Địa chỉ IP độc hại được sử dụng để truy cập ban đầu:
69.10.60[.]250193.160.216[.]221(thử nghiệm không thành công)
- Đường dẫn nơi mã độc driver được lưu trữ:
C:\ProgramData\OEM\Firmware\OemHwUpd.sys - Tên dịch vụ kernel độc hại được đăng ký:
OEM Hardware HAL Service - Mã IOCTL interface bị phơi bày bởi driver bị lợi dụng:
0x223078 - Tên tệp driver hợp pháp bị lợi dụng:
EnPortv.sys(Guidance Software EnCase)
