Các nhà nghiên cứu an ninh mạng đã phát hiện một vector tấn công mới đáng lo ngại, trong đó các tác nhân đe dọa đang lợi dụng các phiên bản dùng thử miễn phí của phần mềm Endpoint Detection and Response (EDR) để vô hiệu hóa các biện pháp bảo vệ bảo mật hiện có trên các hệ thống mục tiêu. Kỹ thuật này, được mệnh danh là “BYOEDR” (Bring Your Own EDR), đại diện cho một phương pháp tinh vi để kẻ tấn công bỏ qua các biện pháp bảo mật doanh nghiệp bằng cách sử dụng các công cụ hợp pháp.
Đây là một mối đe dọa mạng mới nổi, cho thấy sự thích nghi không ngừng của các tác nhân độc hại trong việc khai thác các công cụ hợp pháp để đạt được mục tiêu bất chính. Phương pháp này đặc biệt nguy hiểm vì nó biến chính các giải pháp bảo mật thành công cụ hỗ trợ cho các cuộc tấn công.
Kỹ thuật BYOEDR và Cơ chế Hoạt động
Phát hiện ban đầu và thử nghiệm
Lỗ hổng này lần đầu tiên được nhà nghiên cứu bảo mật BushidoToken nêu bật trên mạng xã hội, người đã quan sát thấy các tác nhân đe dọa tích cực lạm dụng một số sản phẩm EDR trong các cuộc tấn công thực tế. Sau cảnh báo này, các nhà nghiên cứu đã tiến hành thử nghiệm sâu rộng tại BSides Albuquerque và đưa ra một số phát hiện đáng báo động về việc kẻ tấn công có thể vũ khí hóa phần mềm bảo mật một cách dễ dàng như thế nào.
Nhóm nghiên cứu nhận thấy rằng việc có được các phiên bản dùng thử miễn phí của một số sản phẩm EDR và phần mềm diệt virus yêu cầu xác minh tối thiểu. Điều này làm cho việc các tác nhân độc hại truy cập vào các công cụ mạnh mẽ này trở nên cực kỳ dễ dàng. Đáng lo ngại hơn, họ đã chứng minh rằng một sản phẩm EDR nằm dưới sự kiểm soát của kẻ tấn công có thể vô hiệu hóa hiệu quả một cài đặt EDR hợp pháp khác trên cùng một hệ thống.
Trong quá trình thử nghiệm, các nhà nghiên cứu đã thành công khi sử dụng Cisco Secure Endpoint (trước đây là AMP) để vô hiệu hóa cả CrowdStrike Falcon và Elastic Defend mà không kích hoạt bất kỳ cảnh báo nào. Dữ liệu từ xa cũng không được tạo ra, ngoài việc hệ thống đích dường như chỉ đơn giản là bị ngắt kết nối.
Quy trình khai thác EDR
Kỹ thuật BYOEDR liên quan đến việc loại bỏ các ngoại lệ bảo mật (security exclusions) và thêm mã băm (hash) của phần mềm EDR hiện có vào danh sách ứng dụng bị chặn. Điều này biến công cụ bảo mật thành một vũ khí chống lại các sản phẩm cạnh tranh. Cụ thể, kẻ tấn công cài đặt phiên bản EDR dùng thử của riêng mình, sau đó sử dụng nó để thao tác cấu hình của EDR hợp pháp. Mục tiêu chính là khiến EDR hợp pháp tự xem EDR của chính nó là một mối đe dọa và tự vô hiệu hóa hoặc chặn các chức năng của nó.
Ví dụ, một kẻ tấn công có thể sử dụng các lệnh CLI hoặc giao diện điều khiển của EDR đã chiếm quyền để:
- Thêm đường dẫn cài đặt hoặc mã băm của EDR đích vào danh sách đen.
- Thay đổi các chính sách bảo vệ hoặc tắt các mô-đun quan trọng của EDR đối thủ.
- Tạo ngoại lệ (exclusions) cho các tiến trình độc hại của chính chúng, đảm bảo hoạt động không bị phát hiện sau khi EDR hợp pháp bị vô hiệu hóa.
Mức độ Nguy hiểm và Phạm vi Ảnh hưởng
Bỏ qua tính năng chống giả mạo
Điều làm cho vector tấn công mạng này trở nên đặc biệt nguy hiểm là khả năng bỏ qua các tính năng bảo vệ chống giả mạo (tamper protection). Các tính năng này được thiết kế đặc biệt để ngăn chặn việc thao túng EDR. Việc sử dụng một EDR hợp lệ để vô hiệu hóa một EDR khác thường không kích hoạt các cơ chế bảo vệ này, vì hành động này được thực hiện bởi một công cụ được ủy quyền (dù là do kẻ tấn công kiểm soát).
Phù hợp với giai đoạn hậu xâm nhập
Mặc dù kỹ thuật BYOEDR yêu cầu quyền truy cập quản trị viên cục bộ trên hệ thống mục tiêu, nó đại diện cho một phương pháp tiếp cận có độ phức tạp thấp hơn so với các phương pháp né tránh EDR truyền thống. Các phương pháp truyền thống bao gồm tấn công “Bring Your Own Vulnerable Driver” (BYOVD) hoặc các kỹ thuật gỡ móc DLL (DLL-unhooking). Cuộc tấn công này phù hợp với giai đoạn hậu xâm nhập của các hoạt động mạng, xảy ra sau khi có quyền truy cập ban đầu và leo thang đặc quyền, nhưng trước khi di chuyển ngang và thu thập dữ liệu.
Đối với ít nhất một nhà cung cấp, ESET, các nhà nghiên cứu đã phát hiện ra rằng có thể cài đặt một phiên bản do kẻ tấn công kiểm soát có thể chiếm quyền kiểm soát từ một cài đặt hợp pháp hiện có. Điều này cho thấy rằng ngay cả khi có một EDR hợp lệ đang hoạt động, nó vẫn có thể bị vượt mặt bởi một phiên bản khác của cùng sản phẩm nếu kẻ tấn công có đủ quyền.
Sự Lạm dụng Công cụ hợp pháp trong An ninh Mạng
Xu hướng lạm dụng RMM và công cụ quản trị
Kỹ thuật lạm dụng EDR này phù hợp với xu hướng rộng lớn hơn của kẻ tấn công trong việc tận dụng các công cụ quản trị hợp pháp cho các mục đích độc hại. Báo cáo Săn lùng Mối đe dọa CrowdStrike năm 2024 đã ghi nhận mức tăng 70% so với cùng kỳ năm trước về việc lạm dụng các công cụ quản lý và truy cập từ xa (RMM/RAT). Trong khi đó, Arctic Wolf báo cáo rằng các công cụ RMM có liên quan đến 36% các trường hợp được điều tra của họ.
Những công cụ hợp pháp này đặc biệt hấp dẫn đối với kẻ tấn công vì chúng được tin cậy, được ký đúng cách bằng chứng chỉ hợp lệ và ít có khả năng kích hoạt cảnh báo bảo mật hơn nhiều so với phần mềm độc hại truyền thống. Khả năng sử dụng các công cụ tin cậy để thực hiện các hành vi độc hại làm cho việc phát hiện và phòng ngừa trở nên phức tạp hơn đối với các hệ thống an ninh mạng truyền thống.
Khuyến nghị và Biện pháp Phòng ngừa
Đối với tổ chức
Các chuyên gia bảo mật khuyến nghị các tổ chức nên thực hiện các chính sách kiểm soát ứng dụng (application control), chỉ số hành vi tùy chỉnh (custom behavioral indicators) và tường lửa nhận biết ứng dụng (application-aware firewalls). Các biện pháp này nhằm chặn các công cụ RMM, AV và EDR trái phép. Đặc biệt, việc chặn hoặc giám sát chặt chẽ việc cài đặt và chạy các phiên bản EDR dùng thử là rất quan trọng.
Các tổ chức cũng nên tập trung vào các biện pháp bảo mật cơ bản. Các biện pháp này bao gồm phân đoạn mạng phù hợp, củng cố môi trường (environment hardening), vá lỗi nhất quán và hạn chế đặc quyền quản trị viên cục bộ thông qua các giải pháp như Giải pháp Mật khẩu Quản trị viên Cục bộ (Local Administrator Password Solution – LAPS). Việc giảm thiểu quyền hạn của người dùng và các tiến trình là một yếu tố then chốt để ngăn chặn các cuộc tấn công như BYOEDR.
Các khuyến nghị cụ thể bao gồm:
- Triển khai Application Control/Whitelisting: Chỉ cho phép các ứng dụng đã được phê duyệt chạy trên hệ thống.
- Giám sát hành vi bất thường: Thiết lập các quy tắc để phát hiện hoạt động EDR bất thường, chẳng hạn như cố gắng vô hiệu hóa các sản phẩm EDR khác hoặc sửa đổi các tệp hệ thống quan trọng.
- Phân đoạn mạng: Hạn chế sự di chuyển ngang của kẻ tấn công trong trường hợp một hệ thống bị xâm nhập.
- Quản lý Đặc quyền: Sử dụng LAPS hoặc các giải pháp tương tự để xoay vòng mật khẩu quản trị viên cục bộ và hạn chế quyền truy cập.
- Cập nhật bản vá bảo mật: Đảm bảo tất cả phần mềm, bao gồm cả EDR và hệ điều hành, được cập nhật các bản vá mới nhất.
- Huấn luyện nhận thức bảo mật: Nâng cao nhận thức của nhân viên về các mối đe dọa và kỹ thuật lừa đảo.
Đối với nhà cung cấp EDR
Các nhà cung cấp đang được kêu gọi triển khai các quy trình xác minh mạnh mẽ hơn cho các phiên bản dùng thử miễn phí. Đồng thời, họ cần đảm bảo rằng các cài đặt mới không thể chiếm quyền kiểm soát các tác nhân hiện có từ các khách hàng hợp pháp. Điều này có thể bao gồm các cơ chế như xác thực đa yếu tố (MFA) bắt buộc cho các bản dùng thử, kiểm tra danh tính nghiêm ngặt hơn, hoặc giới hạn chức năng của phiên bản dùng thử để ngăn chặn các hành vi gây hại.
Một điểm cải tiến quan trọng khác là các nhà cung cấp cần tăng cường khả năng phát hiện “EDR on EDR violence”. Điều này có thể đạt được bằng cách thêm các chỉ số hành vi nội bộ để cảnh báo khi một phiên bản EDR đang cố gắng tương tác với hoặc sửa đổi một phiên bản EDR khác trên cùng một hệ thống. Việc cải thiện khả năng tự bảo vệ của EDR trước các cuộc tấn công như BYOEDR là một ưu tiên hàng đầu.
Để biết thêm thông tin chi tiết về phát hiện ban đầu, bạn có thể tham khảo bài đăng trên Medium của BushidoToken: EDR on EDR Violence: An Accidental Offshoot of Our RMM Abuse Research – BYOEDR.
