Trong những năm gần đây, các công cụ tiêu diệt Endpoint Detection and Response (EDR killers) đã trở thành một vũ khí tiêu chuẩn, cực kỳ hiệu quả trong các cuộc xâm nhập sử dụng mã độc ransomware hiện đại. Trước khi triển khai phần mềm mã hóa tệp, tội phạm mạng thường xuyên sử dụng các công cụ chuyên biệt để vượt qua phần mềm bảo mật.
Theo một báo cáo mới toàn diện của ESET Research, bối cảnh mối đe dọa đã phát triển vượt xa kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) nổi tiếng.
Xu hướng khai thác EDR Killers trong các cuộc tấn công mạng
Các đối tượng tấn công hiện đang sử dụng rộng rãi các phương pháp không cần driver, các tập lệnh dòng lệnh tùy chỉnh và các tiện ích chống rootkit hợp pháp để vô hiệu hóa các biện pháp phòng thủ bảo mật.
Thay vì liên tục viết lại và cập nhật các công cụ mã hóa ransomware để tránh bị phát hiện, các tác nhân đe dọa nhận thấy việc tắt phần mềm bảo mật trước đó dễ dàng hơn nhiều.
EDR killers cung cấp một giải pháp đáng tin cậy cao, chi phí thấp, mang lại cho kẻ tấn công một khoảng thời gian dự đoán được để thực hiện các payload mã hóa thường rất ồn ào của chúng.
ESET lưu ý rằng các đơn vị liên kết của ransomware, thay vì các nhà điều hành ransomware-as-a-service (RaaS) cốt lõi, thường lựa chọn công cụ EDR-killer nào sẽ triển khai trong một cuộc tấn công.
Động thái này tạo ra sự đa dạng lớn về công cụ trong thực tế, khi các đơn vị liên kết khác nhau kết hợp và sử dụng nhiều EDR killers để phù hợp với nhu cầu xâm nhập và trình độ kỹ năng cụ thể của họ.
Các kỹ thuật EDR Killer phổ biến
Mặc dù việc khai thác các driver kernel dễ bị tổn thương thông qua BYOVD vẫn là phương pháp chủ đạo, công nghệ đằng sau EDR killers đang mở rộng nhanh chóng.
Các nhà nghiên cứu của ESET đang theo dõi gần 90 EDR killers được sử dụng tích cực, trong đó 54 công cụ dựa vào BYOVD để khai thác 35 driver dễ bị tổn thương khác nhau. Xem thêm chi tiết trong báo cáo của ESET: EDR Killers Explained: Beyond the drivers.
Phương pháp không dùng Driver (Driverless Methods)
Một xu hướng ngày càng nguy hiểm là việc sử dụng các EDR killers không cần driver. Các công cụ như EDRSilencer và EDR-Freeze không cần tương tác với kernel hệ thống.
Thay vào đó, chúng chặn giao tiếp mạng giữa endpoint và backend bảo mật, hoặc buộc phần mềm EDR phải ngừng hoạt động. Vì các phương pháp này không dựa vào các lỗ hổng CVE driver truyền thống, chúng khó bị phát hiện hơn đối với các nhà phòng thủ mạng.
Sử dụng Script và Công cụ Anti-Rootkit Hợp pháp
Một số kẻ tấn công có kỹ năng thấp hơn dựa vào các tập lệnh lệnh cơ bản hoặc khởi động lại hệ thống vào Windows Safe Mode để vượt qua các biện pháp bảo mật.
Các đơn vị liên kết tinh vi hơn vũ khí hóa các chương trình chống rootkit hợp pháp, chẳng hạn như GMER và PC Hunter.
Những công cụ này ban đầu được xây dựng để loại bỏ mã độc kernel sâu, nhưng với đặc quyền nâng cao, chúng trở thành vũ khí lý tưởng để chấm dứt các tiến trình bảo mật đang hoạt động.
Hệ sinh thái phát triển EDR Killer
Cuộc điều tra của ESET đã phân loại các nhà phát triển các công cụ này thành ba nhóm chính.
Nhóm phát triển riêng (Closed Groups)
Đầu tiên, các nhóm đóng như Embargo, DeadLock và Warlock tự phát triển EDR killers độc quyền từ đầu.
Các nhà nghiên cứu nghi ngờ mạnh mẽ rằng các nhóm như Warlock đang sử dụng Trí tuệ Nhân tạo (AI) để hỗ trợ viết và cập nhật mã EDR killer của họ, nhằm né tránh các giải pháp an ninh mạng.
Sửa đổi PoC công khai
Thứ hai, nhiều kẻ tấn công sửa đổi mã proof-of-concept (PoC) có sẵn công khai. Các kho lưu trữ mở cung cấp các mẫu sẵn sàng sử dụng mà kẻ tấn công dễ dàng điều chỉnh bằng cách thay đổi ngôn ngữ lập trình hoặc thêm mã làm xáo trộn đơn giản.
“EDR Killer as a Service”
Cuối cùng, một thị trường ngầm đang bùng nổ hiện nay cung cấp dịch vụ “EDR killer as a service”. Các công cụ thương mại được bán tích cực trên các diễn đàn dark web cho các đơn vị liên kết của các băng nhóm mã độc ransomware lớn, hoàn chỉnh với hỗ trợ khách hàng.
Thách thức và Định hướng phòng thủ cho an ninh mạng
Vì các công cụ này được trao đổi và chia sẻ rộng rãi, các nhà phòng thủ an ninh mạng phải đối mặt với một thách thức lớn. Việc phân tích một driver dễ bị tổn thương cụ thể không còn đủ để xác định một băng nhóm mã độc ransomware cụ thể.
Các công cụ hoàn toàn không liên quan có thể lạm dụng cùng một driver, và một nhóm đe dọa có thể chuyển đổi giữa nhiều driver khác nhau trong các cuộc tấn công.
Khi thị trường EDR killer tiếp tục trưởng thành và thương mại hóa, các tổ chức phải tập trung vào việc phát hiện các dấu hiệu hành vi của sự giả mạo bảo mật thay vì chỉ theo dõi các driver dễ bị tổn thương cụ thể hoặc các lỗ hổng CVE liên quan.
Điều này đòi hỏi một cách tiếp cận phòng thủ toàn diện hơn, tập trung vào phân tích hành vi và mối đe dọa liên tục để chống lại các chiến thuật của mã độc ransomware hiện đại.
