Tác nhân đe dọa mạng được biết đến với tên gọi Crypt4You gần đây đã xuất hiện trên các diễn đàn ngầm và chợ đen dark web, quảng cáo một công cụ tinh vi mang tên VOID KILLER. Công cụ độc hại này hoạt động như một trình diệt tiến trình antivirus (AV) và endpoint detection and response (EDR) ở cấp độ kernel. Nó được thiết kế để né tránh và vô hiệu hóa các hệ thống phòng thủ an ninh.
Sự xuất hiện của VOID KILLER làm nổi bật một mối đe dọa mạng đang leo thang, nơi những kẻ tấn công đang đầu tư vào các công cụ tiên tiến để xâm nhập môi trường doanh nghiệp. Không giống các mã độc truyền thống chỉ đơn thuần mã hóa code, giải pháp cấp độ kernel này trực tiếp chấm dứt các tiến trình bảo mật. Điều này xảy ra trước khi chúng có thể phản ứng với các mối đe dọa.
VOID KILLER: Công cụ Khai thác EDR cấp độ Kernel
VOID KILLER được quảng bá như một giải pháp thay thế cho các crypter truyền thống. Nó thể hiện một sự thay đổi đáng kể trong cách tội phạm mạng tiếp cận các cơ chế bỏ qua phòng thủ. Bằng cách nhắm mục tiêu vào nhân (kernel) của hệ điều hành, VOID KILLER cố gắng loại bỏ các rào cản bảo vệ mà các tổ chức đang dựa vào. Mục đích là để phát hiện và ngăn chặn các hoạt động độc hại.
Các nhà nghiên cứu bảo mật đã ghi nhận rằng công cụ này trực tiếp thách thức các kiến trúc phòng thủ hiện đại. Đặc biệt là những kiến trúc dựa vào tính năng phát hiện hành vi và khả năng giám sát thời gian thực. Phân tích cho thấy VOID KILLER đại diện cho một sự phát triển nguy hiểm trong công nghệ chống phát hiện. Nó cung cấp cho tội phạm mạng phương tiện để hoạt động với sự giám sát giảm thiểu trong các hệ thống bị xâm nhập.
Thông tin nhận dạng về Mối đe dọa
Dựa trên các quảng cáo và tài liệu, các thực thể chính liên quan đến công cụ này bao gồm:
- Tên công cụ: VOID KILLER
- Tác nhân đe dọa: Crypt4You
Cơ chế Hoạt động Kỹ thuật Chi tiết
Hoạt động ở Cấp độ Kernel
Hoạt động ở cấp độ kernel là khía cạnh kỹ thuật quan trọng nhất của VOID KILLER. Điều này có nghĩa là công cụ được thực thi với quyền hạn hệ thống cao nhất. Điều này cho phép nó bỏ qua các biện pháp bảo vệ chế độ người dùng (user-mode) tiêu chuẩn. Theo phát hiện từ tình báo mối đe dọa, VOID KILLER tuyên bố chấm dứt ngay lập tức Windows Defender và khoảng năm mươi giải pháp antivirus cấp người dùng. Nó được báo cáo là có khả năng zero detection ở cả giai đoạn quét và runtime.
Cơ chế Né tránh Phát hiện Nâng cao
Công cụ này sử dụng các kỹ thuật xây dựng đa hình (polymorphic build techniques). Các kỹ thuật này tạo ra các hash file mới với mỗi lần biên dịch. Mục đích là để né tránh các hệ thống phát hiện dựa trên chữ ký (signature-based detection). Ngoài ra, nó tích hợp các cơ chế bỏ qua User Account Control (UAC) tự động. Điều này cho phép nó leo thang đặc quyền mà không kích hoạt các cảnh báo bảo mật.
Kiến trúc Payload-Agnostic
Kiến trúc payload-agnostic của VOID KILLER cho phép các nhà điều hành chèn bất kỳ tệp thực thi nào. Điều này làm cho công cụ tương thích với nhiều họ mã độc khác nhau. Đặc biệt, người bán còn cung cấp các biến thể bổ sung nhắm mục tiêu vào các giải pháp doanh nghiệp như CrowdStrike và SentinelOne. Những biến thể này được bán riêng để tăng cường khả năng thâm nhập thị trường, mở rộng phạm vi của mối đe dọa mạng này.
Phân tích và Đánh giá Rủi ro Bảo mật Mạng
Các nhà nghiên cứu và phân tích của KrakenLabs đã xác định và ghi lại mối đe dọa này. Họ đã kiểm tra các tài liệu quảng cáo và các khả năng được tuyên bố của công cụ. Phân tích của họ tiết lộ rằng VOID KILLER đại diện cho một sự tiến hóa nguy hiểm trong công nghệ chống phát hiện. Nó cho phép tội phạm mạng hoạt động với ít sự giám sát hơn trong các hệ thống bị xâm nhập.
Sự ra đời của VOID KILLER nhấn mạnh sự cần thiết của các chiến lược phòng thủ đa lớp (defense-in-depth) và triển khai bảo mật cấp độ kernel. Điều này là để chống lại các cuộc tấn công mạng đang nổi lên một cách hiệu quả. Để xem chi tiết hơn về nghiên cứu ban đầu, bạn có thể tham khảo phát hiện của KrakenLabs.
Các tổ chức sử dụng Windows Defender, phần mềm antivirus cấp người dùng, và thậm chí cả các giải pháp EDR tiên tiến đối mặt với rủi ro tiếp xúc cao hơn. Công cụ này làm tăng khả năng thành công của các hành vi xâm nhập mạng và khó phát hiện. Do đó, cần có các biện pháp đối phó mạnh mẽ để bảo vệ các tài sản kỹ thuật số quan trọng.
Thông tin Phân phối và Thanh toán
Tác nhân đe dọa Crypt4You định giá các bản dựng VOID KILLER tùy chỉnh ở mức ba trăm đô la Mỹ mỗi phiên bản. Họ chấp nhận thanh toán bằng các loại tiền điện tử như Bitcoin, Ethereum, Litecoin và Monero. Một video trình diễn được chia sẻ bởi Crypt4You càng xác thực các khả năng phá hoại của công cụ này.
Khuyến nghị và Biện pháp Đối phó để Tăng cường An ninh Mạng
Để đối phó với những mối đe dọa mạng như VOID KILLER, các tổ chức cần xem xét nâng cấp chiến lược an ninh mạng của mình. Việc triển khai các giải pháp bảo mật cấp độ kernel tiên tiến là cần thiết. Điều này giúp phát hiện và ngăn chặn các công cụ hoạt động với đặc quyền hệ thống cao nhất. Đồng thời, cần tăng cường kiểm soát truy cập và giám sát hệ thống liên tục.
Cập nhật thường xuyên các bản vá bảo mật và cấu hình hệ thống an toàn là vô cùng quan trọng. Các hệ thống cần được trang bị khả năng phân tích hành vi nâng cao. Điều này giúp phát hiện các hoạt động bất thường ngay cả khi các tiến trình bảo mật tiêu chuẩn đã bị vô hiệu hóa. Cách tiếp cận phòng thủ đa lớp sẽ cung cấp một bức tường bảo vệ vững chắc hơn trước các mối nguy hiểm mới. Mục tiêu là đảm bảo an toàn thông tin trong bối cảnh các cuộc tấn công ngày càng tinh vi.
