Một phân tích mới về các công cụ diệt EDR (endpoint detection and response) đã tiết lộ rằng 54 trong số chúng tận dụng kỹ thuật BYOVD (bring your own vulnerable driver) bằng cách lạm dụng tổng cộng 34 driver dễ bị tổn thương.
Các chương trình EDR killer thường xuất hiện trong các cuộc tấn công ransomware vì chúng cung cấp một cách để các chi nhánh vô hiệu hóa phần mềm bảo mật trước khi triển khai mã độc mã hóa tệp. Điều này được thực hiện nhằm mục đích né tránh sự phát hiện.
"Các nhóm ransomware, đặc biệt là những nhóm có chương trình ransomware-as-a-service (RaaS), thường xuyên tạo ra các bản dựng mới cho encryptor của chúng, và việc đảm bảo mỗi bản dựng mới không bị phát hiện một cách đáng tin cậy có thể tốn thời gian," nhà nghiên cứu Jakub Souček của ESET cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Quan trọng hơn, các encryptor vốn dĩ rất ồn ào (vì chúng cần sửa đổi một số lượng lớn tệp trong một khoảng thời gian ngắn); việc làm cho loại mã độc này không bị phát hiện là khá khó khăn."
EDR killer hoạt động như một thành phần bên ngoài, chuyên biệt được chạy để vô hiệu hóa các kiểm soát bảo mật trước khi thực thi chính các locker, do đó giữ cho locker đơn giản, ổn định và dễ dàng xây dựng lại. Điều này không có nghĩa là chưa từng có trường hợp các mô-đun vô hiệu hóa EDR và ransomware được hợp nhất thành một binary duy nhất. Reynolds ransomware là một ví dụ điển hình.
Phần lớn các EDR killer dựa vào các driver hợp pháp nhưng dễ bị tổn thương để đạt được các đặc quyền nâng cao và thực hiện mục tiêu của chúng. Trong số gần 90 công cụ EDR killer được công ty an ninh mạng Slovakia phát hiện, hơn một nửa sử dụng chiến thuật BYOVD nổi tiếng đơn giản vì nó đáng tin cậy.
"Mục tiêu của một cuộc tấn công BYOVD là giành được đặc quyền kernel-mode, thường được gọi là Ring 0," Bitdefender giải thích. "Ở cấp độ này, mã có quyền truy cập không hạn chế vào bộ nhớ hệ thống và phần cứng. Vì kẻ tấn công không thể tải một driver độc hại không có chữ ký, chúng 'mang' một driver có chữ ký của nhà cung cấp đáng tin cậy (chẳng hạn như nhà sản xuất phần cứng hoặc một phiên bản antivirus cũ) có lỗ hổng đã biết."
Với quyền truy cập kernel, các threat actor có thể chấm dứt các tiến trình EDR, vô hiệu hóa các công cụ bảo mật, giả mạo các kernel callback và phá hoại các biện pháp bảo vệ endpoint. Kết quả là việc lạm dụng mô hình tin cậy driver của Microsoft để né tránh các biện pháp phòng thủ, tận dụng lợi thế là driver dễ bị tổn thương đó là hợp pháp và có chữ ký.
Các EDR killer dựa trên BYOVD chủ yếu được phát triển bởi ba loại threat actor:
- Các nhóm ransomware khép kín như DeadLock và Warlock không dựa vào các chi nhánh
- Kẻ tấn công forking và điều chỉnh mã proof-of-concept hiện có (ví dụ: SmilingKiller và TfSysMon-Killer)
- Tội phạm mạng tiếp thị các công cụ như vậy trên các chợ đen như một dịch vụ (ví dụ: DemoKiller hay còn gọi là Бафомет, ABYSSWORKER, và CardSpaceKiller)
ESET cho biết họ cũng đã xác định các công cụ dựa trên script sử dụng các lệnh quản trị tích hợp như taskkill, net stop, hoặc sc delete để can thiệp vào hoạt động bình thường của các tiến trình và dịch vụ sản phẩm bảo mật. Một số biến thể cũng được tìm thấy là kết hợp scripting với Windows Safe Mode.
"Vì Safe Mode chỉ tải một tập hợp tối thiểu các thành phần của hệ điều hành và các giải pháp bảo mật thường không được bao gồm, mã độc có cơ hội cao hơn để vô hiệu hóa sự bảo vệ," công ty lưu ý.
"Đồng thời, hoạt động như vậy rất ồn ào, vì nó yêu cầu khởi động lại, điều này rủi ro và không đáng tin cậy trong các môi trường không xác định. Do đó, nó chỉ hiếm khi được nhìn thấy trong thực tế."
Loại EDR killer thứ ba là các anti-rootkit, bao gồm các tiện ích hợp pháp như GMER, HRSword và PC Hunter, cung cấp giao diện người dùng trực quan để chấm dứt các tiến trình hoặc dịch vụ được bảo vệ. Một loại thứ tư, mới nổi, là một tập hợp các EDR killer không driver như EDRSilencer và EDR-Freeze, chúng chặn lưu lượng truy cập đi từ các giải pháp EDR và khiến các chương trình này rơi vào trạng thái "hôn mê" tương tự.
"Kẻ tấn công không bỏ nhiều công sức vào việc làm cho encryptor của chúng không bị phát hiện," ESET cho biết. "Thay vào đó, tất cả các kỹ thuật né tránh phòng thủ tinh vi đã chuyển sang các thành phần user-mode của EDR killer. Xu hướng này rõ ràng nhất ở các EDR killer thương mại, vốn thường tích hợp các khả năng chống phân tích và chống phát hiện mạnh mẽ."
Để chống lại ransomware và EDR killer, việc chặn các driver thường bị lạm dụng khỏi việc tải là một cơ chế phòng thủ cần thiết. Tuy nhiên, do các EDR killer chỉ được thực thi ở giai đoạn cuối và ngay trước khi khởi chạy encryptor, một thất bại ở giai đoạn này có nghĩa là threat actor có thể dễ dàng chuyển sang một công cụ khác để hoàn thành cùng một nhiệm vụ.
Điều này ngụ ý rằng các tổ chức cần có các biện pháp phòng thủ đa lớp và chiến lược phát hiện để chủ động giám sát, đánh dấu, ngăn chặn và khắc phục mối đe dọa ở mọi giai đoạn của chu kỳ tấn công.
"EDR killer vẫn tồn tại vì chúng rẻ, ổn định và tách rời khỏi encryptor – một sự kết hợp hoàn hảo cho cả các nhà phát triển encryptor, những người không cần tập trung vào việc làm cho encryptor của họ không bị phát hiện, và các chi nhánh, những người sở hữu một tiện ích mạnh mẽ, dễ sử dụng để phá vỡ các biện pháp phòng thủ trước khi mã hóa," ESET cho biết.
