Tóm tắt nội dung
Bài viết từ GBHackers đề cập đến một chiến dịch quy mô lớn, nơi mà các kẻ tấn công đã khai thác một lỗ hổng chính sách của Windows để triển khai phần mềm độc hại mà không bị phát hiện. Dưới đây là những điểm chính:
1. Trình điều khiển bị khai thác:
- Các kẻ tấn công đã sử dụng trình điều khiển kế thừa, Truesight.sys (phiên bản 2.0.2), chứa các lỗ hổng cho phép họ bỏ qua các biện pháp bảo mật hiện đại.
- Trình điều khiển này là một phần của bộ công cụ chống rootkit RogueKiller của Adlice và đã bị khai thác trong hơn 2.500 biến thể khác nhau, mỗi biến thể đều được ký số để tránh các cơ chế phát hiện.
2. Kỹ thuật khai thác:
- Các kẻ tấn công đã thay đổi các phần cụ thể của cấu trúc tệp Portable Executable (PE) của trình điều khiển, thay đổi các trường kiểm tra tổng và thêm byte mà không làm vô hiệu hóa chữ ký số của nó. Kỹ thuật này cho phép tạo ra hàng ngàn hash tệp duy nhất cho cùng một trình điều khiển, vô hiệu hóa các hệ thống phát hiện dựa trên hash.
- Chiến dịch này tận dụng một ngoại lệ trong chính sách ký số trình điều khiển của Microsoft cho phép các trình điều khiển cũ được ký trước ngày 29 tháng 7 năm 2015, tải lên các phiên bản Windows mới nhất.
3. Chuỗi tấn công:
- Các mẫu phần mềm độc hại giai đoạn đầu giả mạo ứng dụng hợp pháp và được phân phối qua các chiến dịch lừa đảo liên quan đến các trang web lừa đảo và kênh ứng dụng nhắn tin.
- Các mẫu này hoạt động như các trình tải xuống cho các payload tiếp theo, bao gồm một mô-đun giết EDR/AV được thiết kế để vô hiệu hóa các giải pháp bảo mật cuối bằng cách khai thác lỗ hổng Truesight.sys.
- Mô-đun giết EDR/AV giao tiếp với trình điều khiển bị tổn thương bằng cách sử dụng mã IOCTL tùy chỉnh (0x22E044) để kết thúc các tiến trình liên quan tới các công cụ bảo mật đang chạy như các tiến trình được bảo vệ.
4. Tác động và phát hiện:
- Hạ tầng của chiến dịch chủ yếu được lưu trữ tại các vùng đám mây công cộng ở Trung Quốc, với khoảng 75% nạn nhân nằm ở Trung Quốc và những người khác trải rộng khắp châu Á.
- Microsoft đã cập nhật danh sách chặn trình điều khiển bị tổn thương vào ngày 17 tháng 12 năm 2024 để bao gồm tất cả các biến thể của trình điều khiển Truesight bị khai thác.
5. Độ tinh vi và kỹ thuật né tránh:
- Các kẻ tấn công sử dụng các kỹ thuật tiên tiến như tải DLL bên, tải trọng được mã hóa giả dạng tệp hình ảnh (ví dụ: PNG hoặc JPG) và các bộ bảo vệ thương mại như VMProtect để né tránh phát hiện trong thời gian dài.
Chiến dịch này làm nổi bật sự tinh vi ngày càng gia tăng của các mối đe dọa mạng và nhu cầu cải thiện các biện pháp bảo mật để không chỉ dựa vào các phương pháp phát hiện dựa trên chữ ký truyền thống, mà còn tích hợp phân tích hành vi, quét heuristic và kiểm tra tính toàn vẹn của trình điều khiển để xác định hoạt động trình điều khiển đáng ngờ.
