Một làn sóng tấn công mạng mới đang nhắm vào các hệ thống Windows, sử dụng kỹ thuật ẩn mình để vượt qua các công cụ bảo mật truyền thống. Một nhóm APT có tên Silver Fox đã lợi dụng một trình điều khiển hợp pháp và đáng tin cậy đã được Microsoft ký xác nhận để vô hiệu hóa phần mềm chống virus và triển khai mã độc mà không bị phát hiện.
Chuyện gì đang xảy ra?
Silver Fox đang sử dụng một trình điều khiển dễ bị tấn công (amsdk.sys) từ WatchDog Anti-Malware, được xây dựng trên SDK của Zemana, để thực hiện kiểu tấn công BYOVD (Bring Your Own Vulnerable Driver).
Kỹ thuật này cho phép kẻ tấn công có được quyền truy cập ở mức nhân (kernel-level) và vượt qua các cơ chế kiểm soát bảo mật.
-
- BYOVD: là một kỹ thuật tấn công mạng tinh vi, trong đó kẻ tấn công cố tình cài đặt một driver hợp pháp nhưng có lỗ hổng bảo mật vào hệ thống mục tiêu để khai thác quyền truy cập cấp kernel (kernel-level access) mức quyền cao nhất trong hệ điều hành Windows Những trình điều khiển này thường được ký xác nhận và được hệ điều hành tin tưởng, khiến chúng đặc biệt nguy hiểm vì có thể vượt qua nhiều lớp phòng thủ tiêu chuẩn và hoạt động sâu trong hệ thống.
- Quyền truy cập mức nhân (kernel-level access): là cấp độ đặc quyền cao nhất trong hệ điều hành như Windows, nơi các trình điều khiển và chức năng cốt lõi chạy trong “chế độ nhân (kernel mode)”.
Khi đã chạy trong chế độ nhân, trình điều khiển độc hại cho phép kẻ tấn công:
-
- Dừng các tiến trình bảo vệ (ví dụ: vô hiệu hóa Windows Defender).
- Leo thang đặc quyền (từ người dùng thường thành toàn quyền kiểm soát hệ thống).
- Thực hiện giả mạo chữ ký hoặc can thiệp tiến trình mà không bị cảnh báo.
Các chiến thuật chính được ghi nhận trong đợt tấn công này
Chiến dịch này đã triển khai ValleyRAT, một trojan truy cập từ xa (RAT) có khả năng:
-
- Kiểm soát hoàn toàn hệ thống
- Đánh cắp dữ liệu
- Sử dụng kỹ thuật chống phân tích để tránh bị phát hiện trong môi trường sandbox hoặc máy ảo
Ngoài ra, Silver Fox còn áp dụng:
-
- Giả mạo chữ ký: thay đổi chỉ một byte trong trình điều khiển để vượt qua cơ chế phát hiện dựa trên hàm băm, nhưng vẫn giữ chữ ký Microsoft hợp lệ.
- Trình tải mã độc đa năng: nhúng trình điều khiển cùng logic chống phân tích và các module chuyên vô hiệu hóa EDR/AV.
- Chiến lược hai loại trình điều khiển để tương thích với các phiên bản Windows: nhắm vào hệ thống cũ với trình điều khiển Zemana dễ bị khai thác đã biết (zam.exe) và hệ thống hiện đại với trình điều khiển amsdk.sys chưa được ghi nhận, vốn không có trong danh sách chặn trình điều khiển dễ bị khai thác của Microsoft hoặc cơ sở dữ liệu LOLDrivers.
Tại sao điều này quan trọng – ngay cả khi bạn không dùng WatchDog
Chỉ tin tưởng thôi là chưa đủ để đảm bảo an toàn. Ngay cả các driver đã được Microsoft ký số, vốn thường được hệ thống Windows tin tưởng, cũng có thể bị khai thác nếu chứa lỗ hổng bảo mật.
Tấn công không phụ thuộc vào phần mềm cụ thể Dù bạn không dùng WatchDog, hệ thống vẫn có thể bị tấn công nếu:
-
- Có driver dễ bị khai thác đã được cài đặt từ trước.
- Người dùng bị dụ tải driver qua email giả mạo, file đính kèm, hoặc phần mềm giả mạo.
- Bất kỳ trình điều khiển nào có chữ ký đều có thể bị tái sử dụng nếu không được giám sát chặt chẽ.
- Khoảng trống trong việc quản lý cập nhật hoặc không thực thi blocklist có thể khiến trình điều khiển dễ bị tấn công vẫn tồn tại trong hệ thống.
- BYOVD đang bùng phát mạnh – ngày càng nhiều nhóm ransomware và các tác nhân đe dọa tinh vi sử dụng kỹ thuật này để có quyền truy cập sâu vào hệ thống, vượt qua các công cụ bảo mật truyền thống.
- Tin tặc không cần exploit hệ điều hành họ chỉ cần một driver hợp pháp nhưng có lỗ hổng. Một khi driver được tải, họ có thể: Vô hiệu hóa phần mềm bảo mật. Cài RAT (Remote Access Trojan). Duy trì quyền truy cập lâu dài.
- Mục tiêu mới: lớp nhân hệ điều hành – nơi mà hầu hết các công cụ bảo mật hiện tại ít có khả năng giám sát và kiểm soát.
Hơn hết bạn vẫn có thể dễ bị tấn công BYOVD nếu hệ thống của bạn:
-
- Cho phép chạy các trình điều khiển lỗi thời hoặc chưa được xác minh.
- Thiếu quy trình rõ ràng để giám sát và quản lý hoạt động của trình điều khiển.
- Không có công cụ bảo mật đủ khả năng phát hiện mối đe dọa ở mức nhân.
- BYOVD là kiểu tấn công mà hacker cài driver có lỗ hổng vào hệ thống để chiếm quyền kiểm soát ở cấp kernel tức là tầng sâu nhất của hệ điều hành, nơi phần mềm bảo mật thường không kiểm soát được.
- Doanh nghiệp cần các giải pháp EDR/MDR/XDR tiên tiến có khả năng phát hiện và ứng phó với mối đe dọa ngầm.
- Nhiều hệ thống cài driver từ lâu mà không ai để ý, trong đó có thể có driver dễ bị khai thác.
- Cần có quy trình kiểm tra định kỳ các driver đang chạy trên máy chủ và máy người dùng, để phát hiện và gỡ bỏ những driver có nguy cơ.
- Áp dụng kiểm soát nghiêm ngặt việc cài đặt, cập nhật và gỡ bỏ trình điều khiển.
- Đảm bảo chỉ sử dụng các trình điều khiển được xác minh, cập nhật và duy trì đầy đủ danh mục phục vụ kiểm tra an ninh & tuân thủ.
- Trình điều khiển dễ bị khai thác có thể xâm nhập thông qua phần mềm hoặc phần cứng của bên thứ ba, nhà cung cấp bên ngoài.
- Doanh nghiệp cần đánh giá và giám sát rủi ro, đánh giá mức độ bảo mật của các nhà cung cấp, yêu cầu họ minh bạch về quy trình cập nhật và vá lỗi kể cả khi hiện tại chưa dùng sản phẩm của họ.
Bảo vệ doanh nghiệp với chiến lược an ninh mạng cùng ITM
Trong kỷ nguyên số, mỗi thiết bị kết nối đều có thể trở thành điểm yếu nếu không được bảo vệ đúng cách. ITM mang đến giải pháp an ninh mạng chủ động, giúp bạn phát hiện sớm, phản ứng nhanh và loại bỏ triệt để các mối đe dọa tiềm ẩn từ tầng sâu nhất của hệ thống.
Liên hệ ITM ngay hôm nay để đánh giá mức độ rủi ro và xây dựng chiến lược phòng thủ chủ động, phù hợp với doanh nghiệp của bạn, bảo vệ toàn diện từ thiết bị đầu cuối đến hạ tầng hệ thống.
An toàn không đến từ sự may mắn mà từ sự chuẩn bị kỹ lưỡng.
