Mã Độc Cấp Kernel: Mối Đe Dọa Tiềm Ẩn Đối Với Hệ Thống Windows
Kẻ tấn công mạng đang tiếp tục sử dụng mã độc cấp kernel như một vũ khí ưa thích để chống lại các hệ thống Windows, trong bối cảnh các mối đe dọa an ninh mạng gia tăng đáng báo động. Hoạt động ở ring 0 – cấp độ đặc quyền cao nhất trong hệ điều hành – loại mã độc này cấp cho kẻ tấn công quyền truy cập chưa từng có để vô hiệu hóa các biện pháp phòng thủ bảo mật, duy trì sự tồn tại dai dẳng và hoạt động mà không bị phát hiện. Khả năng quản lý các chức năng cốt lõi của hệ điều hành như bộ nhớ, các tiến trình (threads) và hoạt động phần cứng, khiến quyền truy cập cấp kernel trở thành một điểm đột nhập lý tưởng để vượt qua các công cụ chống vi-rút và phát hiện điểm cuối (endpoint detection), đồng thời thay đổi hành vi hệ thống mà không để lại dấu vết.
Vượt Qua Các Biện Pháp Bảo Vệ Của Microsoft
Mặc dù Microsoft đã triển khai các biện pháp đối phó mạnh mẽ như PatchGuard, Driver Signature Enforcement (DSE) và Hypervisor-Protected Code Integrity (HVCI), các tác nhân đe dọa đang khai thác các driver được ký số hợp lệ và các dịch vụ ngầm để vượt qua những cơ chế bảo vệ này. Cụ thể:
- PatchGuard: Được thiết kế để ngăn chặn sửa đổi trái phép các cấu trúc kernel quan trọng.
- Driver Signature Enforcement (DSE): Yêu cầu tất cả các driver chạy trên hệ thống 64-bit phải có chữ ký số hợp lệ từ một Tổ chức Cấp Chứng chỉ (CA) đáng tin cậy.
- Hypervisor-Protected Code Integrity (HVCI): Là một tính năng bảo mật dựa trên ảo hóa, giúp tăng cường bảo vệ bằng cách thực thi các quy tắc toàn vẹn mã từ một môi trường biệt lập.
Kẻ tấn công đã thích nghi bằng cách lạm dụng Chương trình Tương thích Phần cứng Windows (WHCP) và các chứng chỉ Extended Validation (EV) để ký các driver kernel độc hại, ngụy trang hiệu quả thành phần mềm hợp pháp.
Hệ Sinh Thái Mã Độc Và Phát Hiện Của Group-IB
Nghiên cứu gần đây của Group-IB, phân tích hơn 620 driver độc hại và hơn 80 chứng chỉ bị xâm phạm kể từ năm 2020, đã hé lộ một hệ sinh thái phức tạp nơi kẻ tấn công lợi dụng các cơ chế tin cậy hợp pháp để thực hiện các hoạt động cấp kernel ẩn danh, tác động cao. Cuộc điều tra của Group-IB nhấn mạnh sự gia tăng hoạt động này, với hơn 250 driver và 34 chứng chỉ được liên kết với các chiến dịch độc hại chỉ riêng trong năm 2022, thường liên quan đến các thực thể có trụ sở tại Trung Quốc dựa trên phân tích siêu dữ liệu.
Các kernel loader, hoạt động như các driver giai đoạn đầu tiên, bổ sung một lớp che giấu khác bằng cách tải động các driver thứ cấp không dấu hoặc có dấu vào bộ nhớ, tăng cường khả năng tàng hình và thích nghi. Các họ mã độc đáng chú ý như FiveSys và POORTRY, được các nhóm ransomware như Cuba và LockBit sử dụng, đã khai thác các loader này để truy xuất payload từ các máy chủ điều khiển (command-and-control servers) hoặc bộ nhớ cục bộ, qua mặt các cơ chế phát hiện truyền thống.
Ví Dụ Về Các Họ Mã Độc Và Nhóm Ransomware
- FiveSys: Một họ mã độc kernel được biết đến với khả năng tải payload và duy trì sự tồn tại.
- POORTRY: Một loại mã độc khác sử dụng kernel loader để né tránh phát hiện.
- Cuba Ransomware: Nhóm ransomware sử dụng các kỹ thuật tinh vi, bao gồm kernel-level malware, để mã hóa dữ liệu.
- LockBit Ransomware: Một trong những nhóm ransomware khét tiếng nhất, cũng lợi dụng các driver độc hại để đạt được các đặc quyền cao và vô hiệu hóa an ninh.
Thị Trường Ngầm Chứng Chỉ Và Tài Khoản WHCP
Mối lo ngại càng sâu sắc hơn khi có một thị trường ngầm phát triển mạnh mẽ cho các chứng chỉ EV và tài khoản WHCP. Tại đó, các nhà cung cấp – một số có thể là các tác nhân nói tiếng Nga trong cộng đồng tội phạm mạng Trung Quốc – bán các thông tin đăng nhập này với giá chỉ từ 260 USD đến 15.000 USD. Các chứng chỉ này, thường được lấy thông qua đăng ký kinh doanh gian lận hoặc danh tính bị đánh cắp, cho phép ngay cả các tác nhân đe dọa ít kỹ năng hơn cũng có thể triển khai mã độc kernel được ký số, có khả năng vô hiệu hóa các công cụ bảo mật.
Sự trùng lặp trong hạ tầng ký số trên các chiến dịch không liên quan, chẳng hạn như việc sử dụng lại RedDriver trong các vụ tấn công chiếm quyền điều khiển trình duyệt và các sơ đồ duy trì sự tồn tại, nhấn mạnh một hệ sinh thái lạm dụng chung. Kể từ năm 2020, ưu tiên đối với các driver được ký bởi WHCP so với các chứng chỉ EV độc lập đã tăng lên, phản ánh ý định của kẻ tấn công nhằm khai thác niềm tin sâu hơn trong hệ sinh thái của Microsoft.
Điểm Yếu Trong Chuỗi Xác Minh
Việc khai thác các quy trình hợp pháp như quy trình gửi driver WHCP – vốn chỉ yêu cầu chứng chỉ EV, đăng ký trong Microsoft Partner Center và một driver không gây lỗi (crash-free) – đã bộc lộ những lỗ hổng nghiêm trọng trong chuỗi xác minh. Mặc dù các Tổ chức Cấp Chứng chỉ (CAs) thực thi các bước kiểm tra sự tồn tại hợp pháp và hoạt động, nhưng sự giám sát hạn chế của con người, thường chỉ giới hạn ở một cuộc gọi điện thoại, tạo điều kiện cho các tác nhân đe dọa có nguồn lực tốt hoặc các quốc gia thao túng hệ thống.
Giải Pháp Và Cải Cách Cần Thiết
Sự gia tăng của các kernel loader và driver có chữ ký hợp lệ đòi hỏi những cải cách cấp bách, bao gồm:
- Phát hành chứng chỉ nghiêm ngặt hơn với xác minh sự hiện diện vật lý.
- Tăng cường hợp tác giữa các CA, nhà cung cấp hệ điều hành và cộng đồng bảo mật để nhanh chóng thu hồi các thông tin đăng nhập bị lạm dụng.
Khi tội phạm mạng tiếp tục thích nghi, việc củng cố các cơ chế tin cậy này là tối quan trọng để bảo vệ các hệ thống Windows khỏi mối đe dọa tàng hình, dai dẳng của các cuộc khai thác cấp kernel.
