Công cụ mã nguồn mở EDRChoker cho phép các đội đỏ (red team) vô hiệu hóa các tác nhân Endpoint Detection and Response (EDR) kết nối đám mây bằng một kỹ thuật mới. Thay vì dừng tiến trình hoặc chèn mã độc, công cụ này làm nghẽn băng thông mạng của tác nhân EDR xuống gần bằng không thông qua cơ chế Policy-Based Quality of Service (QoS) tích hợp sẵn của Windows. Đây là một kỹ thuật mới trong việc đối phó với các mối đe dọa mạng.
Kỹ thuật Vô hiệu hóa Tác nhân EDR
Công cụ EDRChoker được phát triển bởi nhà nghiên cứu bảo mật @TwoSevenOneT, khai thác trực tiếp chức năng Policy-Based Quality of Service (QoS) của Windows. Mục tiêu là giảm thiểu băng thông của các tiến trình EDR xuống mức cực thấp, từ đó cô lập chúng khỏi hạ tầng điều khiển và chỉ huy.
Các nền tảng EDR hiện đại phụ thuộc vào kết nối liên tục, độ trễ thấp giữa tác nhân trên điểm cuối và máy chủ quản lý trên đám mây. Mối quan hệ máy chủ này là trung tâm cho việc thu thập dữ liệu, phân tích mối đe dọa và kiểm soát hành chính.
Khi kết nối này bị gián đoạn, tác nhân EDR sẽ trở nên vô hình, không thể báo cáo các phát hiện, nhận chính sách cập nhật hoặc chấp nhận lệnh từ quản trị viên. Sự phụ thuộc vào kiến trúc này chính là điểm yếu mà EDRChoker khai thác.
So sánh với các Phương pháp Truyền thống
Các đội đỏ trước đây thường sử dụng hai phương pháp chính để ngắt kết nối EDR:
- Quy tắc Windows Defender Firewall.
- Các lệnh gọi API Windows Filtering Platform (WFP).
Các công cụ như EDRSilencer đã vũ khí hóa API FwpmFilterAdd0 để đăng ký các bộ lọc mạng đi ra, có khả năng loại bỏ có chọn lọc các gói tin của tác nhân EDR. Tuy nhiên, phương pháp này tạo ra các sự kiện packet-block và packet-drop.
Các nền tảng bảo mật như Elastic Defend có thể phát hiện các sự kiện này thông qua các quy tắc phát hiện chuyên dụng, như quy tắc Potential Evasion via Windows Filtering Platform. Điều này dẫn đến việc cảnh báo tức thời về hành vi cố gắng né tránh phát hiện.
Ưu điểm Vượt trội của EDRChoker
EDRChoker hoạt động ở tốc độ chỉ 8 bps. Ở tốc độ này, một quy trình bắt tay TLS tiêu chuẩn, vốn yêu cầu từ 3 KB đến 6 KB chỉ riêng dữ liệu chuỗi chứng chỉ, sẽ không thể hoàn thành. Tác nhân EDR liên tục gặp lỗi hết thời gian chờ trước khi trao đổi được bất kỳ gói tin nào, tạo ra các lỗi connection-dropped thay vì các sự kiện chặn tường lửa có thể phát hiện.
Lợi thế kỹ thuật của EDRChoker nằm ở kiến trúc. Cơ chế điều chỉnh QoS (throttling) được thực thi bởi pacer.sys, một trình điều khiển lọc nhẹ NDIS (NDIS Lightweight Filter Driver). Trình điều khiển này hoạt động trực tiếp phía trên card mạng vật lý (NIC), ở một lớp thấp hơn WFP trong ngăn xếp mạng Windows. Thứ tự của các lớp trong ngăn xếp này rất quan trọng.
Nhà nghiên cứu @TwoSevenOneT cho biết EDRChoker chấp nhận một tệp đầu vào chứa tên các tiến trình EDR. Sau đó, nó tự động tạo ra các chính sách QoS có tên duy nhất (tên tiến trình + GUID ngẫu nhiên cho mỗi lần chạy). Điều này đảm bảo rằng không có hai lần triển khai nào tạo ra các chữ ký quy tắc giống hệt nhau, làm tăng khả năng lẩn tránh.
Công cụ này, có sẵn trên GitHub, hoạt động theo hai chế độ.
Chế độ Hoạt động của EDRChoker
Chế độ 1: Chặn EDR
Trong chế độ này, EDRChoker nhắm mục tiêu vào các tiến trình EDR đã xác định bằng cách áp dụng chính sách QoS để giới hạn băng thông của chúng.
Chế độ 2: Thêm Bộ lọc (Add Filter)
Chế độ này cho phép người dùng chỉ định các địa chỉ IP hoặc dải IP cụ thể để chặn, cung cấp khả năng kiểm soát chi tiết hơn đối với lưu lượng mạng.
Cơ chế Hoạt động Chi tiết
EDRChoker sử dụng các lệnh WMI (Windows Management Instrumentation) để tương tác với dịch vụ QoS của Windows. Lệnh WMI cụ thể được sử dụng là `Add-NetQosPolicy`, cho phép tạo và cấu hình các chính sách QoS.
Ví dụ, để chặn băng thông của một tiến trình có tên `edr.exe`, một lệnh tương tự như sau có thể được thực thi (mã này chỉ mang tính minh họa và có thể cần điều chỉnh):
Add-NetQosPolicy -Name "Throttle_EDR_Process" -AppPath "C:\Path\To\edr.exe" -ThrottleRateActionBitsPerSecond "8" -NetworkProfile Any
Lệnh này đặt giới hạn tốc độ truyền dữ liệu cho tiến trình `edr.exe` xuống còn 8 bps trên tất cả các hồ sơ mạng.
Để xóa chính sách sau khi hoàn thành, lệnh `Remove-NetQosPolicy` có thể được sử dụng:
Remove-NetQosPolicy -Name "Throttle_EDR_Process" -Confirm:$false
Kỹ thuật EDRChoker nhấn mạnh một thực tế kiến trúc quan trọng: các công cụ EDR phụ thuộc hoàn toàn vào kết nối đám mây mang trong mình một điểm lỗi duy nhất tiềm ẩn. Việc này tạo ra rủi ro bảo mật lớn nếu không được quản lý cẩn thận.
Khi kẻ tấn công tiến sâu hơn vào ngăn xếp mạng Windows để né tránh phát hiện, các chuyên gia phòng thủ cũng cần mở rộng giám sát tương ứng xuống các lớp sâu hơn. Nếu không, họ có nguy cơ hoạt động trong tình trạng mù lòa, đặc biệt là vào những thời điểm quan trọng nhất.
Việc hiểu rõ cách thức hoạt động của các công cụ như EDRChoker là rất quan trọng để xây dựng các chiến lược phòng thủ hiệu quả. Các tổ chức cần đánh giá lại sự phụ thuộc vào các giải pháp EDR dựa trên đám mây và xem xét các biện pháp bổ sung để phát hiện và ngăn chặn các kỹ thuật né tránh tinh vi. Việc cập nhật bản vá cho các hệ thống và cấu hình mạng đóng vai trò then chốt trong việc giảm thiểu các lỗ hổng tiềm ẩn.
Để tìm hiểu sâu hơn về cách thức hoạt động của các công nghệ mạng và ngăn xếp mạng Windows, có thể tham khảo tài liệu chính thức từ Microsoft: [Policy-Based Quality of Service (QoS)].
EDRChoker đại diện cho một sự phát triển đáng chú ý trong lĩnh vực né tránh EDR, đòi hỏi các chuyên gia an ninh mạng phải liên tục thích ứng và nâng cao khả năng phòng thủ của mình. An ninh mạng là một cuộc chạy đua không ngừng nghỉ, đòi hỏi sự cảnh giác và hiểu biết sâu sắc về cả kỹ thuật tấn công và phòng thủ.
