Trong các môi trường Windows hiện đại, việc đọc trực tiếp các sector đĩa thô đã trở thành một **kỹ thuật bypass EDR** tinh vi, cho phép kẻ tấn công vượt qua các công cụ phát hiện điểm cuối (EDR) và khóa tệp truyền thống. Kỹ thuật này nhấn mạnh sự cần thiết cấp bách cho các tổ chức phải kiểm tra và bảo mật các driver được cài đặt trên hệ thống Windows của mình.
Kỹ Thuật Bypass EDR Qua Đọc Đĩa Thô
Tổng Quan Về Phương Pháp
Các driver cung cấp khả năng truy cập cấp thấp vào phần cứng và chức năng đĩa. Một cuộc điều tra gần đây của nhóm Workday Offensive Security đã phát hiện ra cách một driver mặc định hoặc dễ bị tổn thương có thể bị lạm dụng để đọc dữ liệu đĩa thô.
Điều này cho phép kẻ tấn công trích xuất các tệp nhạy cảm như **SAM hive**, **SYSTEM hive** và **NTDS.dit** mà không kích hoạt cảnh báo EDR hoặc các cơ chế kiểm soát truy cập tệp tiêu chuẩn.
Chi tiết về khám phá này được đăng tải trên blog của Workday Engineering: Leveraging Raw Disk Reads to Bypass EDR.
Khai Thác Driver Yếu Điểm
Cốt lõi của kỹ thuật này là việc lợi dụng một driver dễ bị tấn công, ví dụ như **eudskacs.sys**, được gán mã định danh **CVE-2025-50892**. Driver này cung cấp một giao diện đơn giản để đọc đĩa thô.
Bằng cách mở một handle tới driver, kẻ tấn công có thể chỉ định một byte offset và độ dài cụ thể. Driver sau đó sẽ chuyển tiếp yêu cầu này xuống ngăn xếp driver của Windows.
Quá trình này diễn ra qua các driver như **disk.sys**, **storport.sys** và miniport driver của phần cứng, để đọc các sector đĩa thực tế. Dữ liệu sau đó sẽ được truyền ngược trở lại kẻ tấn công mà không cần mở trực tiếp các tệp đích.
Ưu Thế Bypass Hàng Rào Phòng Thủ
Vì phương pháp này sử dụng đọc sector thô thay vì các API tệp thông thường (như **CreateFile** và **ReadFile**), nó bỏ qua nhiều lớp phòng thủ:
- Không kích hoạt các cảnh báo liên quan đến quyền truy cập tệp của EDR.
- Vượt qua các khóa tệp tiêu chuẩn.
- Tránh được các kiểm soát truy cập thông thường dựa trên quyền của người dùng đối với tệp.
Đây là một **kỹ thuật bypass EDR** mạnh mẽ, cho phép kẻ tấn công hoạt động ẩn mình.
Phân Tích Hệ Thống Tệp NTFS
Sau khi có được dữ liệu đĩa thô, kẻ tấn công cần phải phân tích hệ thống tệp **NTFS**. Quá trình này bao gồm các bước sau:
- Đọc **Master Boot Record (MBR)** hoặc **GUID Partition Table (GPT)** để định vị các phân vùng.
- Đọc **Volume Boot Record (VBR)** để tìm **Master File Table (MFT)**.
Các bản ghi **MFT** chứa siêu dữ liệu và các con trỏ (**data runs**) tới nội dung tệp. Bằng cách giải mã các **data runs** (byte tiêu đề, độ dài chạy và offset chạy), kẻ tấn công có thể tính toán các **Logical Block Addresses (LBAs)** cho từng cluster của tệp.
Sau đó, kẻ tấn công thực hiện thêm các thao tác đọc thô để lắp ráp các tệp hoàn chỉnh. Mặc dù việc viết một trình phân tích **NTFS** có thể phức tạp, các dự án mã nguồn mở như **raw-disk-parser** giúp đơn giản hóa nhiệm vụ này. Việc này làm tăng **rủi ro bảo mật** từ các cuộc tấn công.
Khai Thác Không Cần Driver Bên Thứ Ba
Ngay cả khi không cần cài đặt driver bên thứ ba, một người dùng có quyền quản trị viên (administrator-level user) vẫn có thể mở một handle trực tiếp tới **disk.sys** và đạt được kết quả tương tự.
Điều này cho thấy nguy cơ không chỉ đến từ các driver bên ngoài mà còn từ khả năng truy cập cấp thấp sẵn có trong hệ điều hành, làm tăng thêm thách thức trong **an ninh mạng**.
Tác Động và Rủi Ro Bảo Mật
Lợi Thế Tấn Công
Kỹ thuật đọc đĩa thô cung cấp cho kẻ tấn công một lợi thế đáng kể. Nó cho phép truy cập trực tiếp vào dữ liệu hệ thống mà không cần tương tác với các cơ chế bảo mật cấp cao, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Các tệp quan trọng như **SAM hive** (chứa thông tin xác thực), **SYSTEM hive** (chứa khóa mã hóa hệ thống) và **NTDS.dit** (cơ sở dữ liệu Active Directory) có thể bị trích xuất, dẫn đến việc chiếm quyền kiểm soát hệ thống hoặc leo thang đặc quyền.
Dữ Liệu Nhạy Cảm Có Nguy Cơ
Khả năng này tạo ra một **rủi ro bảo mật** nghiêm trọng. Bất kỳ hệ thống Windows nào có driver cung cấp quyền truy cập đĩa thô hoặc nơi kẻ tấn công có đặc quyền quản trị đều có thể bị ảnh hưởng.
Việc rò rỉ các tệp nhạy cảm này có thể dẫn đến việc đánh cắp thông tin đăng nhập, giải mã dữ liệu hoặc truy cập trái phép vào các tài nguyên mạng.
Khuyến Nghị Bảo Mật và Phòng Chống
Audit và Bảo Mật Driver
Để đối phó với **kỹ thuật bypass EDR** này, các tổ chức cần thực hiện các biện pháp phòng ngừa chặt chẽ:
- Thực hiện kiểm tra định kỳ (audit) tất cả các driver được cài đặt trên hệ thống Windows.
- Đảm bảo rằng chỉ các driver cần thiết và đã được xác minh mới được phép hoạt động.
- Sử dụng các chính sách kiểm soát ứng dụng để ngăn chặn cài đặt driver không được phê duyệt.
Giám Sát và Cập Nhật
Hiểu rõ và bảo mật các giao diện driver là chìa khóa để đóng lại vector tấn công ẩn này và bảo vệ dữ liệu nhạy cảm nhất của tổ chức. Đây là một phần thiết yếu của chiến lược **an ninh mạng** toàn diện.
- Theo dõi chặt chẽ các hoạt động cấp thấp của driver để phát hiện các hành vi bất thường.
- Thường xuyên cập nhật bản vá bảo mật cho hệ điều hành và các driver.
- Cân nhắc triển khai các giải pháp bảo mật nâng cao có khả năng phát hiện các hoạt động đọc đĩa thô bất hợp pháp, ngay cả khi chúng cố gắng bypass EDR truyền thống.
