Chiến dịch Qilin ransomware-as-a-service (RaaS) đã thể hiện các kỹ thuật lẩn tránh tinh vi, khai thác một driver dễ bị tổn thương chưa được ghi nhận trước đây, TPwSav.sys, để vô hiệu hóa hệ thống Endpoint Detection and Response (EDR) thông qua hình thức tấn công Bring-Your-Own-Vulnerable-Driver (BYOVD).
Qilin Ransomware: Chiến thuật BYOVD và EDR Evasion
Qilin ransomware lần đầu được phát hiện vào tháng 7 năm 2022, sử dụng chiến thuật tống tiền kép (double extortion). Chúng đánh cắp dữ liệu và đe dọa rò rỉ trên các trang web chuyên dụng nếu tiền chuộc không được thanh toán. Các nhóm liên kết với Qilin ransomware thường nhận 80-85% số tiền chuộc thu được.
Các Biến thể và Mục tiêu
Các biến thể của Qilin ransomware được phát triển bằng Golang và Rust, nhắm mục tiêu vào cả hệ điều hành Windows và Linux. Chúng cung cấp các chế độ mã hóa tùy chỉnh, bao gồm AES-256 với RSA-2048 hoặc RSA-4096 sử dụng OAEP padding. Sự linh hoạt trong công nghệ này cho phép chúng thích nghi với nhiều môi trường khác nhau.
Chuyển Dịch Chiến Thuật
Các sự cố gần đây cho thấy sự chuyển dịch trong chiến thuật của Qilin. Chúng tập trung vào việc thu thập thông tin xác thực thông qua Group Policy Objects (GPOs), triển khai các script như IPScanner.ps1 và logon.bat. Điều này giúp giảm sự phụ thuộc vào việc đánh cắp dữ liệu số lượng lớn.
Vào tháng 10 năm 2024, biến thể Qilin.B đã tích hợp khả năng tự xóa và xóa nhật ký sự kiện để tăng cường tính ẩn danh. Điều này cho thấy nhóm liên tục thích nghi để chống lại các biện pháp bảo mật truyền thống và nâng cao khả năng EDR evasion.
Phân tích Kỹ thuật Cuộc Tấn công BYOVD
Chuỗi tấn công của Qilin ransomware thường bắt đầu bằng việc chiếm quyền truy cập ban đầu qua thông tin xác thực bị đánh cắp. Kênh truy cập này thường là qua SSL VPN từ một IP tại Nga.
Giai đoạn Xâm Nhập Ban đầu và Duy trì Truy cập
Cuộc tấn công được ghi nhận bắt đầu bằng việc truy cập ban đầu qua thông tin xác thực bị đánh cắp qua SSL VPN. Địa chỉ IP nguồn được xác định là 31.192.107.144, được lưu trữ tại Nga. Sau đó, chúng thiết lập khả năng duy trì truy cập thông qua một tệp thực thi proxy ngược dựa trên Golang, có tên main.exe. Tệp này tạo ra một đường hầm tới một IP tại Hoa Kỳ (216.120.203.26) thuộc Shock Hosting.
Kỹ thuật Di chuyển Ngang và Triển khai Tải trọng
Kẻ tấn công lợi dụng RDP và các công cụ từ xa để thực hiện di chuyển ngang trong mạng. Tiếp theo là triển khai một bản cập nhật hợp lệ có chữ ký, upd.exe. Tuy nhiên, upd.exe lại sideload một DLL độc hại, avupdate.dll. Kỹ thuật sideloading DLL hợp pháp này là một phương pháp khai thác lỗ hổng zero-day thường được các nhóm APT sử dụng.
DLL này giải mã một payload được mã hóa XOR từ tệp web.dat bằng khóa 0x6a. Payload giải mã chính là công cụ EDRSandblast đã được tùy chỉnh.
Khai thác Driver TPwSav.sys và Vô hiệu hóa EDR
EDRSandblast được thiết kế để tải TPwSav.sys, một driver tiết kiệm điện của Toshiba được ký vào năm 2015. Driver này có một lỗ hổng nghiêm trọng cho phép đọc/ghi bộ nhớ tùy ý thông qua các trình xử lý IOCTL được ánh xạ bằng MmMapIoSpace. Đây là cốt lõi của phương pháp BYOVD attack mà Qilin ransomware sử dụng.
Bằng cách khai thác các lỗ hổng này, kẻ tấn công đã chiếm quyền kiểm soát hàm BeepDeviceControl của driver Beep.sys. Chúng ghi đè hàm này bằng shellcode của riêng mình, cho phép thực hiện các thao tác đọc/ghi tùy ý ở cấp độ kernel thông qua một IOCTL tùy chỉnh (0x222000).
Hành động này tạo điều kiện thuận lợi cho việc xóa các kernel callbacks và các nhà cung cấp theo dõi sự kiện. Từ đó, các hook của EDR bị vô hiệu hóa một cách hiệu quả, cho phép Qilin ransomware hoạt động mà không bị phát hiện.
Phân tích Công cụ EDRSandblast và Cơ chế Bypass
Phân tích cho thấy công cụ EDRSandblast đã được nạp trước các offset kernel, giúp định vị chính xác các cấu trúc như IofCompleteRequest. Các ánh xạ từ địa chỉ vật lý sang địa chỉ ảo được truy vấn thông qua SystemSuperfetchInformation để thực hiện các thao tác ghi đè chính xác. Điều này giúp bỏ qua các biện pháp bảo vệ bộ nhớ chỉ đọc.
Sự cố này minh họa sự tinh vi của các nhóm liên kết RaaS. Họ có khả năng mua sắm các công cụ tùy chỉnh từ các chợ đen trên dark web. Driver TPwSav.sys chưa từng được ghi nhận bị khai thác trong thực tế trước đây. Điều này biến nó thành một loại lỗ hổng zero-day khi được sử dụng trong chuỗi tấn công này.
Kỹ thuật BYOVD attack yêu cầu đặc quyền quản trị để tải driver và liệt kê bộ nhớ. Nó đòi hỏi kiến thức sâu rộng về kernel Windows, tích hợp các phương pháp rootkit công khai để ghi đè các trình xử lý driver. Tham khảo thêm về phân tích này tại Blackpoint Cyber Blog.
Phạm vi Ảnh hưởng và Đặc điểm Nạn nhân
Dữ liệu lịch sử cho thấy Qilin ransomware chủ yếu nhắm mục tiêu vào các ngành công nghiệp ở Bắc Mỹ. Đã có 164 nạn nhân bị rò rỉ dữ liệu được công khai. Tuy nhiên, số lượng nạn nhân thực tế có thể cao hơn do nhiều khoản thanh toán tiền chuộc không được tiết lộ.
Phòng ngừa và Ứng phó
Trong một sự cố gần đây, nhị phân của Qilin ransomware đã được thực thi với các thông tin xác thực MSP được nhúng. Nó bắt đầu mã hóa các tệp tin và thêm các phần mở rộng ngẫu nhiên. Tuy nhiên, SOC của Blackpoint đã kịp thời can thiệp bằng cách cô lập hệ thống, ngăn chặn mất mát dữ liệu.
Phòng thủ Đa Lớp và Giám sát Liên tục
Phản ứng đa lớp của Blackpoint, bao gồm giám sát thời gian thực, cô lập nhanh chóng và săn lùng mối đe dọa, đã ngăn chặn việc mã hóa trong nhiều lần đối đầu với Qilin ransomware. Điều này nhấn mạnh tầm quan trọng của chiến lược phòng thủ chuyên sâu (defense-in-depth) thay vì chỉ dựa vào EDR đơn thuần.
Vệ sinh Thông tin Xác thực
Khi các cuộc tấn công mạng ransomware ngày càng phát triển, các tổ chức phải ưu tiên giám sát chặt chẽ và vệ sinh thông tin xác thực. Đây là các biện pháp phòng ngừa cần thiết để chống lại các cuộc khai thác BYOVD tinh vi và các mối đe dọa mạng ẩn mình như của Qilin ransomware.
Indicators of Compromise (IOCs)
Dưới đây là các Indicators of Compromise liên quan đến chiến dịch Qilin ransomware này:
IP Addresses:
- 31.192.107.144 (Russian-hosted, Initial Access)
- 216.120.203.26 (U.S.-based Shock Hosting, C2 for Reverse Proxy)
Filenames:
- main.exe (Golang-based Reverse Proxy)
- upd.exe (Legitimate signed updater)
- avupdate.dll (Malicious DLL, sideloaded by upd.exe)
- web.dat (XOR-encrypted payload for EDRSandblast)
- IPScanner.ps1 (Script for credential harvesting via GPO)
- logon.bat (Script for credential harvesting via GPO)
- TPwSav.sys (Vulnerable Toshiba power-saving driver)
IOCTL:
- 0x222000 (Custom IOCTL for kernel-level read/write)
XOR Key:
- 0x6a (Used for decoding web.dat)
Ransomware Variant:
- Qilin.B
