Một chuyên gia bảo mật đã công bố một công cụ mới có khả năng tạm thời vô hiệu hóa các hệ thống phát hiện và phản hồi điểm cuối (EDR) cùng phần mềm chống vi-rút mà không yêu cầu driver dễ bị tổn thương. Đây đánh dấu một sự phát triển đáng kể trong các kỹ thuật tấn công nhắm vào các giải pháp bảo mật, tạo ra một mối đe dọa mạng mới.
Công cụ này, có tên EDR-Freeze, được phát triển bởi nhà nghiên cứu TwoSevenOneT. Nó khai thác chức năng Báo cáo Lỗi của Windows để tạm dừng các tiến trình bảo mật thông qua một cuộc tấn công dựa trên điều kiện tranh chấp (race condition) phức tạp.
Kỹ Thuật Vô Hiệu Hóa EDR và Phát Hiện Xâm Nhập
Không giống như các kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) truyền thống yêu cầu kẻ tấn công triển khai các driver độc hại, EDR-Freeze hoạt động hoàn toàn ở chế độ người dùng (user-mode) bằng cách sử dụng các thành phần hợp pháp của Windows.
Kỹ thuật vô hiệu hóa EDR này tận dụng hàm MiniDumpWriteDump từ thư viện DbgHelp của Windows. Chức năng này được sử dụng để tạo ảnh chụp nhanh bộ nhớ của các tiến trình đang chạy cho mục đích gỡ lỗi.
Cơ Chế Khai Thác Kỹ Thuật Chi Tiết
Trong quá trình hoạt động, hàm MiniDumpWriteDump sẽ tạm dừng tất cả các luồng (threads) trong tiến trình mục tiêu. Điều này nhằm đảm bảo việc ghi nhận bộ nhớ nhất quán và không bị gián đoạn.
EDR-Freeze khai thác hành vi này bằng cách kích hoạt tiến trình tạo bản ghi nhớ (dump process) đối với phần mềm bảo mật. Sau đó, công cụ sẽ tự tạm dừng tiến trình tạo bản ghi nhớ đó, khiến giải pháp bảo mật mục tiêu bị đóng băng vô thời hạn.
Nhắm Mục Tiêu WerFaultSecure.exe và PPL Bypass
Kỹ thuật vô hiệu hóa EDR này đặc biệt nhắm mục tiêu vào tiến trình WerFaultSecure.exe. Đây là một thành phần của Windows Error Reporting có thể chạy với đặc quyền Protected Process Light (PPL) ở cấp độ WinTCB.
Bằng cách kết hợp điều này với công cụ CreateProcessAsPPL, kẻ tấn công có thể vượt qua các cơ chế bảo vệ PPL. Các cơ chế này thường bảo vệ các tiến trình bảo mật khỏi sự truy cập trái phép.
Nhà nghiên cứu đã chứng minh rằng EDR-Freeze có thể tạm dừng thành công tiến trình MsMpEng.exe của Windows Defender trên Windows 11 24H2 trong một khoảng thời gian xác định. Thông tin chi tiết về cơ chế này có thể được tham khảo tại blog của nhà nghiên cứu: EDR-Freeze Puts EDRs & Antivirus Into Coma.
Vận Hành và Tác Động của Kỹ Thuật Vô Hiệu Hóa EDR
Công cụ chấp nhận hai tham số: ID tiến trình của phần mềm bảo mật mục tiêu và thời gian tạm dừng. Điều này cho phép kẻ tấn công vô hiệu hóa tạm thời khả năng giám sát trong quá trình thực hiện các hoạt động độc hại.
Cách tiếp cận này giải quyết các hạn chế chính của các cuộc tấn công BYOVD. Các cuộc tấn công BYOVD yêu cầu triển khai các driver dễ bị tổn thương, có thể kích hoạt cảnh báo trên các hệ thống được giám sát.
Ngược lại, EDR-Freeze chỉ sử dụng các tiến trình hợp pháp của Windows, khiến việc phát hiện xâm nhập trở nên khó khăn hơn cho các đội bảo mật.
Việc phát hành công cụ này nêu bật sự đối đầu không ngừng giữa kẻ tấn công và các nhà cung cấp giải pháp bảo mật. Khi các giải pháp EDR trở nên tinh vi hơn trong việc phát hiện các kỹ thuật BYOVD, các tác nhân đe dọa đang phát triển các phương pháp thay thế để đạt được mục tiêu tương tự bằng cách sử dụng chức năng tích hợp của hệ điều hành. Kỹ thuật vô hiệu hóa EDR này là một ví dụ điển hình.
Phát Hiện Xâm Nhập và Giảm Thiểu Rủi Ro
Các đội bảo mật có thể giám sát việc sử dụng EDR-Freeze tiềm năng bằng cách kiểm tra các tham số dòng lệnh của WerFaultSecure.exe.
Hoạt động đáng ngờ bao gồm tiến trình này nhắm mục tiêu vào các tiến trình hệ thống nhạy cảm như LSASS, các công cụ chống vi-rút hoặc các tác nhân EDR. Điều này có thể cho thấy nỗ lực thao túng phần mềm bảo mật.
# Ví dụ về kiểm tra dòng lệnh (không có trong nội dung gốc, chỉ mang tính minh họa)
# cmd: tasklist /svc /fi "IMAGENAME eq WerFaultSecure.exe"
# powershell: Get-WmiObject win32_process | Where-Object {$_.Name -eq "WerFaultSecure.exe"} | Select-Object CommandLine
Mã Nguồn Mở và Mục Đích Nghiên Cứu
Nhà nghiên cứu đã công khai mã nguồn của EDR-Freeze trên GitHub, nhấn mạnh mục đích sử dụng cho nghiên cứu bảo mật hợp pháp và các bài tập red team.
Tuy nhiên, khả năng của công cụ này gây lo ngại về khả năng bị lạm dụng bởi các tác nhân độc hại. Chúng có thể tìm cách né tránh các kiểm soát bảo mật trong quá trình tấn công, sử dụng kỹ thuật vô hiệu hóa EDR này.
Khuyến Nghị An Ninh Mạng
Các tổ chức nên xem xét khả năng giám sát bảo mật của mình để phát hiện hoạt động bất thường của WerFaultSecure.exe. Đồng thời, họ nên cân nhắc triển khai các cơ chế bảo vệ tiến trình bổ sung ngoài các biện pháp bảo vệ PPL tiêu chuẩn.
Việc này nhằm mục đích phòng thủ chống lại kỹ thuật vô hiệu hóa EDR mới nổi này và tăng cường tổng thể an ninh mạng.
