-
09/04/2020
-
128
-
1.833 bài viết
Qilin, Warlock dùng driver lỗi để vô hiệu hóa bảo mật, phát tán ransomware
Các chiến dịch mã độc tống tiền đang bước sang một giai đoạn tinh vi hơn khi không còn chỉ tập trung mã hóa dữ liệu mà ưu tiên “vô hiệu hóa phòng thủ” trước khi ra tay. Nghiên cứu mới từ Cisco Talos và Trend Micro cho thấy các nhóm ransomware như Qilin ransomware group và Warlock ransomware group đang sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) để “tắt” các hệ thống bảo mật ngay từ bên trong, mở đường cho các cuộc tấn công quy mô lớn.
Kỹ thuật BYOVD cho phép kẻ tấn công cài đặt các driver dễ bị khai thác vào hệ thống, sau đó sử dụng chính các driver này để can thiệp sâu vào nhân hệ điều hành (kernel), nơi các giải pháp bảo mật khó có thể kiểm soát.
Theo phân tích, nhóm Qilin triển khai một tệp DLL độc hại có tên “msimg32.dll” thông qua kỹ thuật DLL side-loading. Đây là điểm khởi đầu của một chuỗi tấn công nhiều giai đoạn. Ở giai đoạn đầu, một trình nạp (loader) sẽ chuẩn bị môi trường thực thi và giải mã payload chính.
Để tránh bị phát hiện, mã độc áp dụng hàng loạt kỹ thuật né tránh như vô hiệu hóa các hook ở user-mode, tắt cơ chế ghi log của ETW (Event Tracing for Windows), đồng thời làm rối luồng điều khiển và cách gọi API. Nhờ đó, payload chính có thể được tải và thực thi hoàn toàn trong bộ nhớ mà không để lại nhiều dấu vết.
Sau khi kích hoạt, malware sử dụng hai driver chính. Một driver được đổi tên từ “ThrottleStop.sys” cho phép truy cập trực tiếp vào bộ nhớ vật lý của hệ thống, đóng vai trò như một lớp truy cập kernel. Driver còn lại được dùng để chấm dứt hoạt động của hơn 300 tiến trình và driver liên quan đến các giải pháp EDR từ nhiều hãng bảo mật khác nhau. Trước khi thực hiện, mã độc còn gỡ bỏ các callback giám sát do EDR thiết lập, đảm bảo quá trình “tắt bảo vệ” diễn ra trơn tru.
Song song đó, nhóm Warlock cũng áp dụng kỹ thuật tương tự nhưng theo hướng mở rộng hơn. Nhóm này khai thác các máy chủ Microsoft SharePoint chưa được vá lỗi, sau đó duy trì quyền truy cập bằng các công cụ như TightVNC, sử dụng driver dễ bị tổn thương “NSecKrnl.sys” để vô hiệu hóa bảo mật ở cấp kernel. Ngoài ra, chúng còn triển khai nhiều công cụ hợp pháp như PsExec để di chuyển ngang, Rclone để đánh cắp dữ liệu, và Cloudflare Tunnel để che giấu kênh điều khiển C2.
Một điểm đáng chú ý là các cuộc tấn công ransomware không diễn ra ngay lập tức. Thống kê cho thấy trung bình mất khoảng 6 ngày từ lúc xâm nhập ban đầu đến khi mã độc được kích hoạt. Trong khoảng thời gian này, kẻ tấn công âm thầm mở rộng quyền kiểm soát, thu thập thông tin và chuẩn bị hạ tầng.
Rủi ro và hậu quả
Việc vô hiệu hóa EDR khiến hệ thống gần như “mù” trước các hoạt động độc hại. Khi đó, ransomware có thể triển khai mà không gặp trở ngại, dẫn đến nguy cơ mã hóa toàn bộ dữ liệu, gián đoạn hoạt động kinh doanh và gây thiệt hại tài chính nghiêm trọng.
Đáng lo ngại hơn, kỹ thuật BYOVD khai thác các thành phần hợp pháp, khiến nhiều hệ thống bảo mật truyền thống khó phát hiện. Điều này làm gia tăng đáng kể tỷ lệ thành công của các cuộc tấn công, đặc biệt trong các doanh nghiệp chưa kiểm soát chặt chẽ driver hoặc chưa cập nhật hệ thống thường xuyên.
Đáng lo ngại hơn, kỹ thuật BYOVD khai thác các thành phần hợp pháp, khiến nhiều hệ thống bảo mật truyền thống khó phát hiện. Điều này làm gia tăng đáng kể tỷ lệ thành công của các cuộc tấn công, đặc biệt trong các doanh nghiệp chưa kiểm soát chặt chẽ driver hoặc chưa cập nhật hệ thống thường xuyên.
Khuyến nghị và giải pháp
Trước xu hướng tấn công mới, các chuyên gia khuyến nghị doanh nghiệp cần chuyển từ phòng thủ truyền thống sang mô hình bảo mật nhiều lớp, đặc biệt chú trọng tới tính toàn vẹn của kernel.
Các biện pháp cần ưu tiên bao gồm:
Các biện pháp cần ưu tiên bao gồm:
- Chỉ cho phép cài đặt driver từ các nhà phát hành đáng tin cậy và có chữ ký số hợp lệ
- Theo dõi chặt chẽ các sự kiện liên quan đến cài đặt và tải driver
- Thường xuyên cập nhật bản vá cho hệ điều hành và phần mềm bảo mật
- Giám sát hành vi bất thường ở cấp kernel thay vì chỉ dựa vào endpoint
- Phát hiện sớm các dấu hiệu xâm nhập ban đầu để ngăn chặn trước khi ransomware được triển khai
Ngoài ra, việc kiểm soát truy cập, bảo vệ thông tin đăng nhập và phân tách mạng nội bộ cũng đóng vai trò quan trọng trong việc giảm thiểu tác động nếu hệ thống bị xâm nhập.
Sự gia tăng của các kỹ thuật như BYOVD cho thấy ransomware không còn là mối đe dọa “đơn giản” mà đã trở thành một chiến dịch tấn công có tổ chức, bài bản và nhiều lớp. Khi các nhóm như Qilin hay Warlock có thể vô hiệu hóa hệ thống phòng thủ ngay từ bên trong, việc phát hiện sớm và bảo vệ ở cấp độ sâu hơn trở thành yêu cầu bắt buộc. Trong bối cảnh đó, các tổ chức cần chủ động nâng cấp chiến lược an ninh mạng, thay vì chỉ phản ứng khi sự cố đã xảy ra.
Sự gia tăng của các kỹ thuật như BYOVD cho thấy ransomware không còn là mối đe dọa “đơn giản” mà đã trở thành một chiến dịch tấn công có tổ chức, bài bản và nhiều lớp. Khi các nhóm như Qilin hay Warlock có thể vô hiệu hóa hệ thống phòng thủ ngay từ bên trong, việc phát hiện sớm và bảo vệ ở cấp độ sâu hơn trở thành yêu cầu bắt buộc. Trong bối cảnh đó, các tổ chức cần chủ động nâng cấp chiến lược an ninh mạng, thay vì chỉ phản ứng khi sự cố đã xảy ra.
Theo The Hacker News