Tấn công mạng nghiêm trọng: Vô hiệu hóa EDR bằng TrueSight Driver

Một chiến dịch quy mô lớn đang lợi dụng một driver bảo mật đáng tin cậy của Windows để vô hiệu hóa các công cụ bảo vệ trước khi triển khai mã độc ransomware và malware truy cập từ xa. Các tấn công mạng này lạm dụng driver truesight.sys, một kernel driver từ phần mềm diệt virus RogueKiller của Adlice Software, sử dụng hơn 2.500 biến thể được ký hợp lệ để âm thầm tắt các giải pháp phát hiện và phản hồi điểm cuối (EDR) cùng antivirus trên hệ thống Windows.

Khai thác Driver TrueSight để Vô hiệu hóa Bảo mật EDR

Mối đe dọa này lần đầu tiên thu hút sự chú ý rộng rãi khi các nhà nghiên cứu của Check Point tiết lộ cách kẻ tấn công lợi dụng các quy tắc ký driver cũ để tải các driver được ký trước năm 2015 trên các máy Windows 11 hiện đại. Bằng cách này, chúng có thể chạy driver TrueSight dễ bị tổn thương với đầy đủ đặc quyền kernel, ngay cả khi các kiểm soát bảo mật của Microsoft được thiết kế để chặn các driver rủi ro.

Kết quả là một phương pháp đáng tin cậy để vô hiệu hóa các công cụ bảo mật trước khi bất kỳ tải trọng nào được phân phối. Ngay sau khi hoạt động này nổi lên, các nhà phân tích của MagicSword đã ghi nhận sự lạm dụng driver đã lan rộng khắp nhiều nhóm đe dọa và khu vực, với các biến thể driver mới xuất hiện hàng tuần.

Dữ liệu đo từ xa của họ cho thấy các tác nhân có động cơ tài chính và các nhóm đe dọa liên tục nâng cao (APT) đều đang áp dụng cùng một phương pháp để dọn đường cho mã độc ransomware và trojan truy cập từ xa trên các máy chủ bị xâm nhập. Trọng tâm của hoạt động này là khả năng chấm dứt gần như mọi tiến trình bảo mật trên hệ thống.

Cơ chế Vô hiệu hóa Hệ thống Bảo mật Cấp độ Kernel

Driver TrueSight 2.0.2 dễ bị tổn thương phơi bày một lệnh IOCTL chấp nhận đầu vào do kẻ tấn công kiểm soát và có thể buộc chấm dứt các tiến trình đã chọn, bao gồm các tác nhân EDR được bảo vệ và các công cụ antivirus. Khi driver được tải, malware không còn phải đối phó với các biện pháp bảo vệ chống giả mạo ở chế độ người dùng, vì nó hoạt động trực tiếp trong kernel Windows với cùng đặc quyền như phần mềm bảo mật hợp pháp.

Tác động là đáng kể đối với những người phòng thủ. Với các tác nhân EDR bị tắt ở cấp độ kernel, dữ liệu đo từ xa dừng lại, cảnh báo không được kích hoạt và mã độc ransomware hoặc trojan truy cập từ xa có thể thực thi gần như không gặp phải sự kháng cự nào. Các nạn nhân thường chỉ nhận ra tấn công mạng khi tệp đã được mã hóa hoặc dữ liệu đã bị đánh cắp một cách âm thầm.

Quy mô của các biến thể driver và tỷ lệ né tránh cao đối với antivirus truyền thống làm cho kỹ thuật này đặc biệt nguy hiểm đối với các doanh nghiệp dựa vào các biện pháp phòng thủ chỉ dựa trên hàm băm hoặc chữ ký. Việc hiểu rõ các mối đe dọa mạng như thế này là rất quan trọng.

Chuỗi Tấn công và Phương thức Triển khai Phức tạp

Chuỗi lây nhiễm đằng sau các tấn công mạng này tuân theo một phương pháp tiếp cận theo từng giai đoạn, sử dụng các phương thức phân phối phổ biến nhưng kết hợp chúng với việc lạm dụng driver tiên tiến.

Giai đoạn Truy cập Ban đầu

Truy cập ban đầu thường bắt đầu bằng các email lừa đảo (phishing), các trang web tải xuống giả mạo hoặc các kênh Telegram bị xâm nhập nhằm lôi kéo người dùng chạy một trình cài đặt ngụy trang. Tệp thực thi giai đoạn đầu tiên này hoạt động như một trình tải xuống và tìm nạp các thành phần bổ sung từ các máy chủ do kẻ tấn công kiểm soát, thường được lưu trữ trên cơ sở hạ tầng đám mây.

Giai đoạn Triển khai và Duy trì

Trong giai đoạn thứ hai, malware thiết lập tính bền bỉ thông qua các tác vụ đã lên lịch và kỹ thuật tải phụ DLL (DLL side-loading), đảm bảo nó tồn tại sau khi khởi động lại và hòa nhập với hoạt động hệ thống bình thường. Sau đó, nó triển khai một mô-đun vô hiệu hóa EDR được mã hóa mạnh mẽ bằng VMProtect để cản trở việc phân tích ngược.

Các nhà nghiên cứu của MagicSword xác định rằng mô-đun này nhắm mục tiêu vào gần 200 sản phẩm bảo mật khác nhau, từ CrowdStrike và SentinelOne đến Kaspersky, Symantec và nhiều hãng khác, làm cho chiến dịch này hiệu quả trên nhiều môi trường doanh nghiệp đa dạng. Sự phức tạp này làm tăng đáng kể các mối đe dọa mạng đối với các tổ chức.

Tải trọng Cuối cùng và Chiếm quyền Hệ thống

Khi sẵn sàng, mô-đun tải xuống driver TrueSight nếu nó chưa có sẵn, cài đặt nó dưới dạng một dịch vụ Windows (thường được đặt tên là TCLService) và gửi yêu cầu IOCTL được tạo ra để chấm dứt các tiến trình bảo mật đang chạy. Với các biện pháp phòng thủ đã biến mất, tải trọng cuối cùng—thường là trojan truy cập từ xa HiddenGh0st hoặc một họ mã độc ransomware—chạy gần như không bị phát hiện. Từ cú nhấp chuột lừa đảo ban đầu đến kiểm soát hệ thống hoàn toàn, chuỗi này có thể hoàn thành chỉ trong 30 phút, để lại một khoảng thời gian rất nhỏ để phát hiện và phản ứng trước khi hệ thống bị xâm nhập toàn diện.

Đối phó với Các Tấn công Mạng Lợi dụng Driver

Để đối phó hiệu quả với các tấn công mạng lợi dụng driver như thế này, các tổ chức cần áp dụng chiến lược bảo mật nhiều lớp. Việc chỉ dựa vào các biện pháp phòng thủ truyền thống không còn đủ. Cần có sự kết hợp của việc giám sát hoạt động hệ thống cấp độ thấp, phân tích hành vi và cập nhật các chính sách kiểm soát driver nghiêm ngặt.

Các giải pháp EDR hiện đại cần có khả năng tự bảo vệ và phát hiện các nỗ lực vô hiệu hóa ở cấp độ kernel. Bên cạnh đó, đào tạo người dùng về nhận diện lừa đảo và các kỹ thuật kỹ thuật xã hội vẫn là một tuyến phòng thủ quan trọng, ngăn chặn giai đoạn truy cập ban đầu.

Các nhóm bảo mật cần liên tục theo dõi các báo cáo về các mối đe dọa mạng mới và các kỹ thuật lạm dụng driver để chủ động cập nhật hệ thống phòng thủ. Việc triển khai các giải pháp bảo mật có khả năng phát hiện các hoạt động bất thường ở cấp độ hệ điều hành, ngay cả khi các công cụ bảo mật thông thường bị vô hiệu hóa, là yếu tố then chốt để bảo vệ hệ thống bị xâm nhập.