Tấn Công Ransomware: Vô Hiệu Hóa Bảo Mật Endpoint Nghiêm Trọng

Các nhóm tấn công ransomware đã mở rộng phương pháp vô hiệu hóa các giải pháp bảo mật endpoint, không còn chỉ dựa vào việc khai thác các driver dễ bị tổn thương. Trong nhiều năm, phương pháp BYOVD (Bring Your Own Vulnerable Driver) là kỹ thuật chính để kẻ tấn công vô hiệu hóa các công cụ bảo mật trước khi kích hoạt payload mã hóa tập tin.

Ngày nay, bức tranh này đã trở nên phức tạp hơn rất nhiều. Các tác nhân đe dọa giờ đây triển khai các công cụ dựa trên script, lạm dụng phần mềm anti-rootkit hợp pháp và sử dụng các phương pháp hoàn toàn không cần driver để làm im lặng các sản phẩm bảo mật trước khi quá trình mã hóa bắt đầu.

Sự Phát Triển của Công Cụ Vô Hiệu Hóa EDR

Sự thay đổi này phản ánh một ưu tiên hoạt động then chốt: các nhóm liên kết mã độc ransomware cần một khoảng thời gian ngắn, đáng tin cậy để chạy trình mã hóa mà không bị chặn.

Thay vì cố gắng làm cho trình mã hóa trở nên vô hình đối với phần mềm bảo mật (một nhiệm vụ khó khăn và tốn thời gian), kẻ tấn công thích phá hủy trực tiếp lớp bảo vệ.

Điều này biến các công cụ vô hiệu hóa EDR (EDR killers) — được thiết kế đặc biệt để tắt phần mềm phát hiện và phản hồi endpoint — thành một phần trung tâm của hầu hết mọi cuộc tấn công ransomware hiện đại.

Nghiên cứu dựa trên dữ liệu telemetry của ESET và các cuộc điều tra sự cố thực tế xác nhận xu hướng này đang tăng tốc ở cả các nhóm mã độc ransomware lớn và nhỏ.

Các nhà phân tích của WeLiveSecurity đã xác định và theo dõi gần 90 EDR killers đang được sử dụng tích cực, trải rộng hầu hết các nhóm ransomware hiện nay. Chi tiết về nghiên cứu này có thể tham khảo tại: EDR Killers Explained: Beyond the Drivers.

Hệ Sinh Thái EDR Killer Phát Triển Mạnh Mẽ

Trong số các công cụ được theo dõi, 54 là công cụ dựa trên BYOVD, lạm dụng 35 driver dễ bị tổn thương riêng biệt. Ngoài ra, 7 công cụ dựa trên script và 15 công cụ lạm dụng phần mềm anti-rootkit hợp pháp hoặc phần mềm có sẵn miễn phí.

Nghiên cứu cho thấy hệ sinh thái EDR killer đã trưởng thành thành một thị trường có cấu trúc, được thúc đẩy bởi thương mại. Các công cụ này được mua, bán và điều chỉnh để nhắm mục tiêu vào nhiều nhà cung cấp bảo mật khác nhau.

Tác động của sự thay đổi này là nghiêm trọng. Nạn nhân phải đối mặt với các cuộc tấn công mà trong đó, các công cụ bảo mật bị vô hiệu hóa trước khi trình mã hóa kịp hoạt động.

Các nhóm như Akira, Medusa, Qilin, RansomHouse và DragonForce đều được quan sát thấy sử dụng các EDR killer thương mại từ các chợ ngầm. Thông tin chi tiết có thể được tìm thấy tại: Silent Killers Exploiting Windows Policy Loophole.

Một công cụ thương mại nổi bật là AbyssKiller, kết hợp rootkit ABYSSWORKER với một loader được đóng gói bằng HeartCrypt. Đây đã trở thành một trong những EDR killer thương mại được nhìn thấy thường xuyên nhất.

Một công cụ khác, CardSpaceKiller, liên tục xuất hiện trong các cuộc tấn công của Akira, Medusa và MedusaLocker, được đóng gói bằng dịch vụ packer-as-a-service VX Crypt.

Kỹ Thuật Né Tránh Phòng Thủ và Che Giấu Mã Độc

Không giống như các trình mã hóa chỉ tập trung vào việc mã hóa tập tin, EDR killer đã trở thành phương tiện chính để né tránh phòng thủ trong các hoạt động mã độc ransomware.

Kẻ tấn công đầu tư sự tinh vi về kỹ thuật của mình vào các công cụ này thay vì vào bản thân trình mã hóa. Việc phá vỡ phần mềm bảo mật trực tiếp đơn giản và đáng tin cậy hơn là làm cho payload không thể bị phát hiện.

Sự phân công lao động có chủ đích này đã tạo ra một lớp công cụ vừa mạnh mẽ vừa dễ tiếp cận, ngay cả đối với những kẻ tấn công có kỹ năng kỹ thuật hạn chế.

Một kỹ thuật phổ biến liên quan đến việc tách công cụ killer khỏi driver mà nó lạm dụng và phân phối chúng độc lập. Nhóm liên kết mã độc ransomware cài đặt driver trước, xác nhận nó tải thành công, sau đó mới thực thi EDR killer.

Các công cụ thương mại được đóng gói bằng các sản phẩm như VX Crypt và HeartCrypt. Chúng bổ sung khả năng che giấu cấp cấu trúc, hành vi chống máy ảo và đóng gói lại liên tục để đánh bại việc phát hiện tĩnh.

Các công cụ bảo vệ mã như VMProtect và Themida cũng thường xuyên được sử dụng.

Một số công cụ còn tiến xa hơn bằng cách lưu trữ driver được mã hóa hoặc shellcode trong các tệp riêng biệt trên đĩa. Điều này giúp giữ các thành phần quan trọng tránh xa những người phòng thủ.

SmilingKiller, được quan sát thấy trong các cuộc xâm nhập của LockBit và Dire Wolf, sử dụng kỹ thuật làm phẳng luồng điều khiển (control-flow flattening) để làm cho mã của nó khó theo dõi.

CardSpaceKiller dựa vào phương pháp giải quyết hàm bằng hash (call-by-hash resolution) và che giấu chuỗi (string obfuscation). Để hiểu thêm về che giấu mã độc, tham khảo: Malware Obfuscation.

EDRKillShifter, được phát triển bởi nhóm RansomHub (hiện đã ngừng hoạt động), bảo vệ các phần quan trọng của mã bằng mật khẩu.

Nhóm Warlock triển khai hàng chục EDR killer cho mỗi lần xâm nhập cho đến khi tìm được công cụ hiệu quả. Các mẫu gần đây cho thấy các mẫu mã phù hợp với thế hệ mã được hỗ trợ bởi AI.

Chiến Lược Phòng Ngừa và Phát Hiện Nâng Cao Trước Mối Đe Dọa Mạng

Các tổ chức nên coi việc chặn driver là một bước đi cần thiết nhưng chưa đủ. Các đội an ninh mạng cần giám sát các sự kiện cài đặt driver đáng ngờ và sử dụng các danh sách chặn được duy trì để gắn cờ các driver dễ bị tổn thương đã biết.

Một chiến lược phát hiện xâm nhập đa lớp thông qua nhà cung cấp dịch vụ Managed Detection and Response (MDR) hoặc một đội SOC nội bộ là rất quan trọng. Điều này là do kẻ tấn công thích nghi theo thời gian thực.

Hạn chế quyền truy cập đặc quyền cao và duy trì phân đoạn mạng (network segmentation) giúp giảm thời gian kẻ tấn công cần để triển khai các công cụ này. Tham khảo thêm về kiểm thử xâm nhập mạng nội bộ: Internal Network Penetration Testing Companies.

Dữ liệu telemetry endpoint mạnh mẽ đảm bảo người phòng thủ vẫn có khả năng hiển thị ngay cả khi một lớp bảo vệ bị gián đoạn. Điều này là tối quan trọng để chống lại các mối đe dọa mạng ngày càng tinh vi.