Các cuộc tấn công BYOVD: Khai thác, Tải Driver, Kỹ thuật né tránh

28/02/2025
2 mins read
Nội dung
Các cuộc tấn công BYOVD
Ví dụ về BYOVD trong thực tế
Ý nghĩa của bảo mật điểm cuối

Các cuộc tấn công BYOVD

Các cuộc tấn công BYOVD (Bring Your Own Vulnerable Driver) liên quan đến việc tải các driver hợp pháp có lỗ hổng để vượt qua hoặc vô hiệu hóa các hệ thống kiểm soát bảo mật. Những cuộc tấn công này đặc biệt hiệu quả vì chúng khai thác các lỗi trong các driver đã được cài đặt và được lợi dụng bởi các tác nhân đe dọa. Dưới đây là cách thức hoạt động của chúng:

  • Khai thác lỗ hổng của driver: Các cuộc tấn công BYOVD nhắm mục tiêu vào các lỗ hổng trong các driver, chạy ở mức ring 0, mức cao nhất của hệ điều hành. Điều này cho phép chúng truy cập vào bộ nhớ quan trọng, CPU, và các hoạt động I/O, cũng như các tài nguyên cơ bản khác.
  • Tải các driver có lỗ hổng: Các kẻ tấn công tải các driver có lỗ hổng để làm mờ hoặc loại bỏ các hệ thống kiểm soát bảo mật. Điều này có thể bao gồm việc làm hỏng, treo, hoặc vô hiệu hóa các driver bảo vệ và các công cụ bảo mật ring 0 khác, từ đó làm mù các biện pháp phòng vệ ở mức thấp nhất.
  • Kỹ thuật né tránh: Những cuộc tấn công này thường liên quan đến việc sử dụng phần mềm driver hợp pháp nhưng có lỗi để né tránh các biện pháp bảo vệ truyền thống. Các giải pháp bảo mật hiện đại như EDR (Endpoint Detection and Response) và XDR (Extended Detection and Response) có thể phát hiện hình thức thao túng này, nhưng không phải tất cả các nền tảng đều cung cấp chức năng này, để lại một khoảng trống trong phòng thủ mà các kẻ tấn công có thể khai thác.

Ví dụ về BYOVD trong thực tế

Một ví dụ cụ thể được đề cập trong các nguồn liên quan đến một nhóm đe dọa được nhà nước tài trợ sử dụng một tiện ích Windows hợp pháp, MAVInject.exe, để tiêm mã độc vào các hệ thống mục tiêu. Kỹ thuật này liên quan đến việc tải xuống nhiều tệp cùng một lúc, bao gồm một tài liệu PDF giả mạo, và sau đó tiến hành sideloading một tệp DLL giả mạo thông qua một ứng dụng trò chơi hợp pháp. Mã độc sẽ kiểm tra các tiến trình bảo mật đang chạy và thực thi mã độc nếu phát hiện một phần mềm antivirus mục tiêu. Nó sau đó kết nối với một máy chủ điều khiển từ xa để xuất dữ liệu, thực thi lệnh, và duy trì tính ổn định.

Ý nghĩa của bảo mật điểm cuối

Với hiệu quả của các cuộc tấn công BYOVD, các chuyên gia an ninh mạng nhấn mạnh sự cần thiết phải nâng cao bảo mật điểm cuối. Điều này bao gồm việc đảm bảo rằng các biện pháp kiểm soát bảo mật đủ mạnh để chống lại các mối đe dọa tiên tiến. Việc cập nhật thường xuyên và vá lỗi cho các driver và các thành phần phần mềm khác là rất quan trọng để giảm thiểu những loại cuộc tấn công này.