Kẻ tấn công đang ngày càng lạm dụng các driver Windows đáng tin cậy để vô hiệu hóa các công cụ chống virus (AV) và phát hiện, phản ứng điểm cuối (EDR), sử dụng một kỹ thuật được gọi là Bring Your Own Vulnerable Driver (BYOVD). Kỹ thuật này, từng được coi là hẹp, đã nhanh chóng trở thành một thành phần tiêu chuẩn trong các chiến dịch ransomware hiện đại, cho phép các tác nhân đe dọa hoạt động ở cấp độ đặc quyền cao nhất trong môi trường Windows.
Kỹ thuật Bring Your Own Vulnerable Driver (BYOVD)
Khả năng phòng thủ là một giai đoạn quan trọng trong các cuộc xâm nhập mạng. Thay vì tránh bị phát hiện, kẻ tấn công đang trực tiếp nhắm mục tiêu và vô hiệu hóa các biện pháp kiểm soát bảo mật. BYOVD cho phép điều này bằng cách khai thác các driver hợp pháp, được ký số chứa các lỗ hổng đã biết. Do Windows tin tưởng các driver này, chúng có thể được tải mà không gây ra cảnh báo.
Hoạt động ở Chế độ Kernel
Windows hoạt động với hai cấp độ đặc quyền: chế độ người dùng (user mode) và chế độ kernel (kernel mode). Trong khi chế độ người dùng giới hạn các ứng dụng, chế độ kernel cung cấp quyền kiểm soát gần như hoàn toàn hệ thống. Bằng cách tận dụng một driver dễ bị tấn công, kẻ tấn công có thể thực thi các hành động độc hại ở chế độ kernel.
Ví dụ, sau khi có được quyền truy cập quản trị, kẻ tấn công có thể cài đặt một driver đã ký nhưng có lỗi và gửi các lệnh được chế tạo để khai thác các điểm yếu của nó. Kết quả phổ biến nhất là chấm dứt các tiến trình AV hoặc EDR.
Trong các trường hợp khác, kẻ tấn công có thể âm thầm làm suy giảm các công cụ bảo mật bằng cách xóa quyền hoặc sửa đổi các cấu trúc kernel để hệ thống giám sát không còn nhận được cảnh báo. Điều này hiệu quả làm mù các biện pháp phòng thủ trong khi vẫn giữ cho chúng có vẻ hoạt động.
Sự phổ biến và Công cụ Hỗ trợ BYOVD
BYOVD đã trở nên rất dễ tiếp cận. Hàng trăm driver dễ bị tấn công được ghi nhận công khai và các driver mới tiếp tục xuất hiện. Các công cụ mã nguồn mở và trong thị trường ngầm như TrueSightKiller, GhostDriver và AuKill tự động hóa quy trình lạm dụng các driver này để chấm dứt các tiến trình bảo mật.
Một số nhóm ransomware hiện tích hợp khả năng BYOVD trực tiếp vào payload của chúng, giảm nhu cầu về các công cụ riêng biệt.
Các Phương pháp Thay thế và Kỹ thuật Vượt qua Bảo vệ
Mặc dù BYOVD chiếm ưu thế, kẻ tấn công cũng sử dụng các phương pháp thay thế. Windows bao gồm một cơ chế bảo vệ gọi là Protected Process Light (PPL), ngăn chặn việc giả mạo các dịch vụ bảo mật.
Tuy nhiên, kẻ tấn công có thể vượt qua điều này bằng cách tạm dừng các tiến trình được bảo vệ thay vì chấm dứt chúng. Một công cụ bảo mật bị tạm dừng sẽ ngừng hoạt động nhưng vẫn hiển thị như đang chạy bình thường, ngăn chặn việc phục hồi tự động.
Một kỹ thuật khác liên quan đến việc khai thác hệ thống phân cấp tin cậy của Windows. Nếu kẻ tấn công giành quyền kiểm soát một tiến trình có độ tin cậy cao hơn, chúng có thể thao túng hoặc chấm dứt các dịch vụ bảo mật có độ tin cậy thấp hơn.
Một số chiến dịch cũng làm gián đoạn liên lạc giữa các agent điểm cuối và các dịch vụ tình báo dựa trên đám mây, làm suy yếu khả năng phát hiện mà không cần thay đổi agent cục bộ.
Các Lớp Bảo vệ Kernel và Hạn chế
Microsoft đã giới thiệu một số tính năng tăng cường bảo mật cho kernel, bao gồm Kernel Address Space Layout Randomization (KASLR), Hypervisor-Protected Code Integrity (HVCI) và Kernel Control Flow Guard (KCFG). Mặc dù những tính năng này giảm thiểu các loại tấn công nhất định, chúng không ngăn chặn hiệu quả BYOVD. Lý do là kẻ tấn công không tiêm mã kernel mới mà sửa đổi các cấu trúc dữ liệu hiện có, một phương pháp bỏ qua nhiều biện pháp bảo vệ.
Theo Security.com, Microsoft không coi việc leo thang từ quản trị viên lên kernel là một ranh giới bảo mật nghiêm ngặt. Do đó, nhiều kỹ thuật BYOVD không được coi là lỗ hổng và có thể không nhận được các bản vá hoặc gán CVE ngay lập tức.
Nỗ lực Phòng thủ và Phát hiện
Các nỗ lực phòng thủ, như danh sách chặn driver dễ bị tấn công của Microsoft và phát hiện dựa trên chữ ký, chỉ cung cấp sự bảo vệ hạn chế. Danh sách chặn thường chậm hơn so với các driver mới được phát hiện, và kẻ tấn công có thể nhanh chóng chuyển sang các driver thay thế hoặc sửa đổi công cụ để tránh bị phát hiện.
Giám sát Hành vi là Chìa khóa
Một phương pháp hiệu quả hơn là giám sát hành vi. Thay vì tập trung vào các driver độc hại đã biết, các giải pháp bảo mật đang bắt đầu phân tích cách thức driver được sử dụng.
Ví dụ, phát hiện các yêu cầu đầu vào/đầu ra (IOCTL) bất thường, chẳng hạn như các lệnh cố gắng chấm dứt các tiến trình bảo mật, có thể tiết lộ hoạt động BYOVD bất kể driver cụ thể nào được sử dụng. Ví dụ, nếu một driver mới được thả đột nhiên đưa ra lệnh tiêu diệt nhiều dịch vụ bảo mật, hệ thống hành vi có thể gắn cờ bất thường này ngay cả khi bản thân driver đó chưa từng được biết đến.
Khi BYOVD tiếp tục phát triển, các bên phòng thủ đang chuyển sang các chiến lược phát hiện chủ động. Giám sát hành vi của driver thay vì chỉ dựa vào chữ ký có thể giúp thu hẹp khoảng cách và hạn chế khả năng của kẻ tấn công trong việc tắt các biện pháp kiểm soát bảo mật quan trọng.
Tăng cường Trung tâm Điều hành An ninh (SOC) của bạn bằng cách Tăng tốc Phát hiện Mối đe dọa & Điều tra Nhanh chóng. Tích hợp ANY.RUN với SOC của bạn ngay bây giờ.
Nguồn tham khảo chi tiết về các mối đe dọa và biện pháp phòng ngừa từ CISA.










