Tin tặc đang tìm cách trốn tránh các công cụ an ninh mạng mới nhất

Khi việc hack ngày càng trở nên tàn phá và phổ biến hơn, một loại công cụ mạnh mẽ từ các công ty bao gồm CrowdStrike Holdings Inc và Microsoft Corp đã trở thành một lợi ích cho ngành công nghiệp an ninh mạng.

Được gọi là phần mềm phản hồi và phát hiện điểm cuối (EDR), phần mềm này được thiết kế để phát hiện sớm các dấu hiệu của hoạt động độc hại trên máy tính xách tay, máy chủ và các thiết bị khác – "điểm cuối" trên mạng máy tính — và chặn chúng trước khi kẻ xâm nhập có thể lấy cắp dữ liệu hoặc khóa máy tống tiền.

Nhưng các chuyên gia nói rằng, tin tặc đã phát triển các giải pháp thay thế cho một số dạng công nghệ, cho phép chúng vượt qua các sản phẩm đã trở thành tiêu chuẩn vàng để bảo vệ các hệ thống quan trọng như EDR.

Chẳng hạn, trong hai năm qua, Mandiant, một phần của bộ phận Google Cloud của Alphabet Inc, đã điều tra 84 vụ vi phạm trong đó có liên quan đến phần mềm EDR hoặc phần mềm bảo mật điểm cuối khác, nhiều trong số các phần mềm này đã bị can thiệp hoặc vô hiệu hóa, Tyler McLellan, nhà phân tích mối đe dọa chính của công ty vừa cho biết trong một tuyên bố.

Còn heo Mark Curphey, người giữ vai trò cấp cao tại McAfee và Microsoft và hiện là chuyên gia an ninh mạng, những phát hiện này đại diện cho sự phát triển mới nhất của "trò chơi mèo vờn chuột" đã diễn ra trong nhiều thập kỷ, khi tin tặc điều chỉnh các kỹ thuật của chúng để vượt qua các biện pháp bảo vệ an ninh mạng mới nhất.

Các nhà điều tra từ nhiều công ty an ninh mạng cho biết số lượng các cuộc tấn công mà EDR bị vô hiệu hóa hoặc bỏ qua là nhỏ, nhưng đang gia tăng và tin tặc đang trở nên tháo vát hơn trong việc tìm cách vượt qua các biện pháp bảo vệ mạnh mẽ hơn mà chính họ cung cấp.

Microsoft vào tháng 12/2022 đã tiết lộ trong một bài đăng trên blog rằng, tin tặc đã lừa công ty áp dụng dấu xác thực cho phần mềm độc hại, sau đó được sử dụng để vô hiệu hóa EDR của công ty và xâm phạm vào các công cụ bảo mật khác trên mạng máy tính nạn nhân. Microsoft đã đình chỉ các tài khoản nhà phát triển bên thứ ba có liên quan đến mưu mẹo này và cho biết công ty đang "làm việc trên các giải pháp dài hạn để giải quyết các hành vi lừa đảo này và ngăn chặn các tác động đến khách hàng trong tương lai".

Vào tháng 2/2023, Arctic Wolf Networks đã trình bày chi tiết một trường hợp mà họ đã điều tra vào cuối năm ngoái, trong đó các tin tặc từ nhóm ransomware Lorenz ban đầu bị cản trở bởi công cụ hàng rào EDR của nạn nhân. Nhưng công ty cho biết các tin tặc đã tập hợp lại và triển khai một công cụ pháp y kỹ thuật số miễn phí cao tay hơn EDR, cho phép chúng truy cập trực tiếp vào bộ nhớ của máy tính và triển khai thành công phần mềm tống tiền của chúng, bằng cách bỏ qua EDR.

Và vào tháng 4/2023, Tập đoàn Sophos đã tiết lộ một phần mềm độc hại mới mà công ty có trụ sở tại Vương quốc Anh đã phát hiện, nó được sử dụng để vô hiệu hóa các công cụ EDR của Microsoft.

Christopher Budd, giám đốc cấp cao về nghiên cứu các mối đe dọa tấn công mạng như Lockbit & Medusa Locker cho biết: "Phần mềm bảo mật bỏ qua và vô hiệu hóa EDR rõ ràng là một chiến thuật đang gia tăng. Do bản chất của kiểu tấn công này, nó đặc biệt khó phát hiện vì nó nhắm mục tiêu vào chính các công cụ vốn dùng phát hiện và ngăn chặn các cuộc tấn công mạng".

Theo IDC, thị trường cho EDR và các công nghệ bảo mật điểm cuối mới khác đã tăng 27%, đạt 8,6 tỷ USD trên toàn cầu vào năm ngoái, dẫn đầu là của CrowdStrike và Microsoft.

Adam Meyers, phó chủ tịch tình báo cấp cao của CrowdStrike, cho biết số vụ tấn công ngày càng tăng nhằm vào phần mềm EDR cho thấy tin tặc "đã và đang phát triển tinh vi". Hiện một đại diện của Microsoft đã từ chối bình luận về câu chuyện này.

Một thập kỷ trước, các nhà sản xuất phần mềm chống vi-rút là nhà cung cấp chính các sản phẩm bảo mật cho PC và các thiết bị đầu cuối khác. Theo các chuyên gia an ninh mạng, mức độ phổ biến của chúng đã giảm khi các cuộc tấn công ngày càng tiên tiến làm lộ ra những điểm yếu của công nghệ vốn dựa vào việc các nhà phân tích tạo ra "chữ ký" kỹ thuật số của các dòng phần mềm độc hại mới theo cách thủ công để chặn chúng.

Sự gia tăng của mã độc tống tiền và các cuộc tấn công phá hoại khác đã thúc đẩy nhu cầu về phần mềm EDR và các công nghệ tương tự nhằm phát hiện và ngăn chặn lây nhiễm sớm hơn. Các công cụ này tìm kiếm nhiều tín hiệu hơn về hoạt động độc hại và tự động hóa nhiều nhiệm vụ tốn thời gian trong việc điều tra và khắc phục vi phạm.

Gần đây, vào ngày 24/4, có bài viết đưa tin rằng, tin tặc ransomware sử dụng công cụ AuKill để vô hiệu hóa phần mềm EDR bằng cách tấn công Mạng lưới trình điều khiển dễ bị tổn thương (BYOVD) trên thiết bị nạn nhân.

Cụ thể, những kẻ đe dọa đang sử dụng một "công cụ trốn tránh phòng thủ" không có giấy tờ hợp pháp có tên là AuKill được thiết kế để vô hiệu hóa phần mềm phát hiện và phản hồi điểm cuối (EDR) bằng một cuộc tấn công BYOVD của riêng nạn nhân.

"Công cụ AuKill lạm dụng phiên bản lỗi thời của trình điều khiển được sử dụng bởi phiên bản 16.32 của tiện ích Microsoft, Process Explorer, để vô hiệu hóa các quy trình EDR trước khi triển khai backdoor hoặc ransomware trên hệ thống đích", nhà nghiên cứu Sophos Andreas Klopsch cho biết trong một báo cáo.

×