Chiến dịch ransomware Medusa đang sử dụng một trình điều khiển độc hại có tên là ABYSSWORKER để làm gián đoạn và vô hiệu hóa các hệ thống phát hiện và phản hồi cuối cùng (EDR) trên các mạng tổ chức mục tiêu. Dưới đây là những điểm chính từ nghiên cứu mới nhất:
Các thành phần chính của chuỗi tấn công ransomware Medusa
-
Trình điều khiển ABYSSWORKER:
- Chức năng: Trình điều khiển ABYSSWORKER được thiết kế đặc biệt để vô hiệu hóa các hệ thống EDR, cho phép phần mềm độc hại tránh bị phát hiện và thực thi mã độc của nó một cách hiệu quả hơn.
- Triển khai: Nó thường được triển khai cùng với một bộ tải HEARTCRYPT, đây là một phương pháp tinh vi được các kẻ tấn công sử dụng để vượt qua các biện pháp bảo mật.
- Chữ ký: Trình điều khiển này đã được ký bằng chứng chỉ có khả năng bị đánh cắp và bị thu hồi từ các công ty Trung Quốc, khiến nó trông hợp pháp và vượt qua các hệ thống bảo mật.
-
Phân tích kỹ thuật:
- Khởi tạo: Khi được khởi tạo, trình điều khiển ABYSSWORKER tạo một thiết bị và liên kết biểu tượng, sau đó đăng ký các callback để bảo vệ các quá trình khách hàng của nó.
- Các khả năng: Nó có thể thao tác tập tin và kết thúc các quá trình và luồng. Nó sử dụng Gói yêu cầu I/O (IRP) để tạo, sao chép và xóa tập tin mà không cần dựa vào các API tiêu chuẩn, khiến cho các hoạt động của nó khó bị phát hiện hơn.
- Vô hiệu hóa EDR: Trình điều khiển có thể loại bỏ các callback thông báo từ hệ thống EDR, làm cho chúng mù tịt trước các hoạt động của nó. Nó cũng có khả năng thay thế các chức năng chính của các trình điều khiển mục tiêu bằng các chức năng giả mạo, vô hiệu hóa chúng một cách hiệu quả.
-
Tác động:
- Cảnh cảnh đe dọa: Việc sử dụng trình điều khiển ABYSSWORKER trong các cuộc tấn công ransomware Medusa làm nổi bật sự phát triển của các mối đe dọa mạng ngày càng tinh vi. Bằng cách vô hiệu hóa các hệ thống EDR, các kẻ tấn công có thể thực thi mã độc của mình với rủi ro phát hiện giảm.
- Biện pháp đối phó: Các tổ chức cần thực hiện các biện pháp bảo mật mạnh mẽ, bao gồm theo dõi các cài đặt trình điều khiển đáng ngờ và sử dụng các công cụ như quy tắc YARA để phát hiện các dấu hiệu phần mềm độc hại đã biết.
Chỉ báo thỏa hiệp
- Cài đặt trình điều khiển: Các cài đặt trình điều khiển bất thường, đặc biệt là những cái có tên như “smuol.sys”.
- Tạo thiết bị: Việc tạo các đối tượng thiết bị với các tên như “\\device\\czx9umpTReqbookF” và các liên kết biểu tượng như “??\\fqg0Et4KlNt4s1JT”.
- Sự cố EDR: Sự cố đột ngột hoặc kết thúc các công cụ bảo mật cuối cùng.
- Ảnh hưởng chữ ký: Những trình điều khiển được ký bằng chứng chỉ từ các công ty Trung Quốc, đặc biệt là những công ty được đề cập trong bài viết này.
- Mã điều khiển I/O đáng ngờ: Hoạt động liên quan đến các mã điều khiển I/O cụ thể.
Các bước khắc phục
Nếu tổ chức của bạn nghi ngờ đã trở thành mục tiêu của ransomware Medusa sử dụng trình điều khiển ABYSSWORKER, hãy thực hiện các bước ngay lập tức sau:
- Khoá các hệ thống bị ảnh hưởng: Ngắt kết nối các máy bị xâm phạm khỏi mạng để ngăn chặn việc di chuyển ngang.
- Triển khai quy tắc YARA: Thực hiện các quy tắc YARA do Elastic Security Labs cung cấp để phát hiện các thành phần của ABYSSWORKER.
- Theo dõi hoạt động của trình điều khiển đáng ngờ: Tăng cường theo dõi đối với các cài đặt trình điều khiển, đặc biệt là những cái có chứng chỉ đã bị thu hồi hoặc đáng ngờ.
- Cập nhật công cụ bảo mật: Đảm bảo tất cả các giải pháp bảo mật được cập nhật với các chữ ký và khả năng phát hiện mới nhất.
- Xem lại nhật ký hệ thống: Tìm kiếm bằng chứng về việc EDR bị kết thúc hoặc thao tác trình điều khiển.
- Triển khai kiểm soát ứng dụng: Sử dụng cho phép ứng dụng để ngăn chặn các trình điều khiển không được ủy quyền được cài đặt.
- Tăng cường xác thực chứng chỉ: Triển khai các quy trình xác thực chứng chỉ mạnh mẽ để phát hiện các chứng chỉ đã bị thu hồi hoặc đáng ngờ.
Bằng cách hiểu rõ những thành phần này và thực hiện các biện pháp chủ động, các tổ chức có thể bảo vệ tốt hơn trước những mối đe dọa đang phát triển của ransomware Medusa và trình điều khiển ABYSSWORKER.
