Qilin Ransomware Nguy Hiểm: Vô Hiệu Hóa Hơn 300 EDR

Nhóm Qilin ransomware đang triển khai một chuỗi lây nhiễm tinh vi, đa giai đoạn thông qua tệp thư viện msimg32.dll độc hại. Thư viện này có khả năng vô hiệu hóa hơn 300 trình điều khiển EDR (Endpoint Detection and Response) từ hầu hết các nhà cung cấp bảo mật lớn. Đây là một ví dụ điển hình về chiến thuật tấn công lớp phòng thủ trước khi tiến hành các hoạt động độc hại cốt lõi.

Trong bối cảnh các tổ chức ngày càng phụ thuộc vào các giải pháp EDR để có khả năng hiển thị hành vi sâu rộng hơn so với các phần mềm diệt virus truyền thống, các tác nhân đe dọa đã thích nghi. Chúng vũ khí hóa các công cụ tiêu diệt EDR như một thành phần trọng tâm trong chuỗi tấn công của mình.

Bằng cách vô hiệu hóa việc thu thập dữ liệu đo lường từ các sự kiện tạo tiến trình, hoạt động bộ nhớ và hành vi mạng, kẻ tấn công có thể hoạt động mà không bị phát hiện đủ lâu để triển khai payload ransomware.

Hoạt Động và Mục Tiêu của Qilin Ransomware

Qilin ransomware, còn được theo dõi dưới các tên gọi Agenda, Gold Feather, và Water Galura, đã tuyên bố có hơn 40 nạn nhân mỗi tháng. Điều này khiến nó trở thành một trong những hoạt động Ransomware-as-a-Service (RaaS) tích cực nhất hiện nay.

Chi Tiết Kỹ Thuật Chuỗi Tấn Công Qilin Ransomware

Giai Đoạn Khởi Phát: Sideloading DLL

Các nhà nghiên cứu của Cisco Talos đã phát hiện chuỗi tấn công của Qilin ransomware bắt đầu khi một ứng dụng hợp pháp, chẳng hạn như FoxitPDFReader.exe, thực hiện sideload tệp msimg32.dll độc hại. Tệp này được đặt thay thế cho thư viện Windows chính hãng.

Để tránh bị nghi ngờ ngay lập tức, DLL giả mạo này chuyển tiếp tất cả các lệnh gọi API dự kiến đến tệp C:\Windows\System32\msimg32.dll gốc. Điều này giúp duy trì hành vi ứng dụng bình thường trong khi kích hoạt logic độc hại trực tiếp từ hàm DllMain.

Payload EDR Killer Đa Giai Đoạn

Được nhúng bên trong DLL là một payload EDR killer được mã hóa. Payload này trải qua ba giai đoạn tải (loader stages) trước khi thành phần cuối cùng được thực thi hoàn toàn trong bộ nhớ, không bao giờ chạm vào đĩa ở dạng đã giải mã.

Kỹ Thuật Chống Phát Hiện Nâng Cao

Bộ tải (loader) sử dụng một loạt các kỹ thuật chống phát hiện tiên tiến được thiết kế đặc biệt để làm mù các sản phẩm EDR trước khi chúng có thể đưa ra cảnh báo. Điều này làm giảm đáng kể khả năng phát hiện xâm nhập sớm của hệ thống phòng thủ.

Ngoài ra, bộ tải còn triển khai phương pháp geo-fencing. Nó sẽ ngừng thực thi nếu thiết lập ngôn ngữ hệ thống phù hợp với các khu vực địa lý mà các nhóm mã độc ransomware thường tránh tấn công. Đây là một danh sách loại trừ có chủ đích, phản ánh các mẫu hành vi của nhiều hoạt động ransomware khác.

Vô Hiệu Hóa EDR Cấp Kernel

Sau khi bộ tải đa giai đoạn phân phối payload cuối cùng (Giai đoạn 4), tệp thực thi EDR killer PE tải hai trình điều khiển trợ giúp cấp kernel.

Qilin ransomware lặp qua một danh sách được mã hóa cứng gồm hơn 300 tên trình điều khiển EDR. Nó sử dụng cơ chế ghi bộ nhớ vật lý thông qua trình điều khiển rwdrv.sys để hủy đăng ký các callback giám sát cho các sự kiện tạo tiến trình, tạo luồng và tải hình ảnh. Điều này vô hiệu hóa khả năng hiển thị của EDR ở cấp độ kernel.

Đáng chú ý, phần mềm độc hại tạm thời ghi đè lên callback CiValidateImageHeader bằng một hàm luôn trả về true. Điều này làm vô hiệu hóa việc thực thi Code Integrity trong khi cuộc tấn công diễn ra. Sau đó, nó khôi phục callback về trạng thái ban đầu để giảm dấu vết pháp y.

Phân Tích và Khuyến Nghị Bảo Mật

Theo ghi nhận của Cisco Talos, mặc dù các kỹ thuật này không hoàn toàn mới, chúng vẫn cực kỳ hiệu quả. Tuy nhiên, chúng vẫn có thể được phát hiện bởi các hệ thống phòng thủ đa lớp được cấu hình đúng cách. Để biết thêm chi tiết, tham khảo báo cáo của Cisco Talos.

Chiến dịch này minh họa rõ ràng rằng việc nhắm mục tiêu vào chính lớp phòng thủ trước khi Qilin ransomware được triển khai đã trở thành một giai đoạn hoạt động tiêu chuẩn đối với các nhóm ransomware tinh vi.

Chỉ Số Thỏa Hiệp (IOCs) và Biện Pháp Phòng Ngừa

Để tăng cường an ninh mạng, các tổ chức được khuyến nghị mạnh mẽ giám sát các hoạt động đáng ngờ sau:

• Sideloading DLL bất thường, đặc biệt là các tệp có tên thư viện hệ thống.
• Cài đặt trình điều khiển bất ngờ, bao gồm:
• rwdrv.sys
• hlpdrv.sys
• Bất kỳ nỗ lực nào ghi vào bộ nhớ vật lý từ các tiến trình ở chế độ người dùng (user-mode processes).

Việc chỉ dựa vào một sản phẩm bảo mật duy nhất không còn đủ để chống lại các tác nhân đe dọa được thiết kế đặc biệt để vô hiệu hóa nó. Cần áp dụng chiến lược phòng thủ theo chiều sâu với nhiều lớp bảo mật tích hợp.