Các bộ khung ransomware tiêu diệt EDR đòi hỏi một hệ thống phòng thủ theo lớp

Các nhóm ransomware đã âm thầm viết lại luật tấn công của chính mình. Thay vì chạy đua mã hóa tập tin trước khi công cụ bảo mật kịp phản ứng, nhiều nhóm giờ đây thực hiện bước đầu tiên có tính toán hơn: vô hiệu hóa hoàn toàn những công cụ đó. Sự nổi lên của chiến lược phòng thủ nhắm vào việc vô hiệu hóa EDR đang thách thức một giả định nền tảng đã định hình an ninh doanh nghiệp suốt nhiều năm, đó là phần mềm phát hiện và phản hồi điểm cuối (EDR) đóng vai trò như một tuyến phòng thủ cuối cùng đáng tin cậy.

Khi kẻ tấn công có thể vô hiệu hóa lớp phòng thủ đó ngay trước khi cuộc tấn công bắt đầu, toàn bộ mô hình bảo mật cần phải được xem xét lại.

Cách các bộ khung vô hiệu hóa EDR hoạt động và lý do chúng lan rộng

Phần mềm EDR hoạt động bằng cách giám sát hành vi của tiến trình, hoạt động tệp tin và các lời gọi mạng ở cấp độ điểm cuối. Nó có thể gắn cờ các mẫu đáng ngờ theo thời gian thực và cảnh báo cho đội ngũ bảo mật hoặc tự động cách ly các mối đe dọa. Chính khả năng quan sát đó là thứ mà kẻ tấn công muốn loại bỏ.

Các bộ khung tiêu diệt EDR, đôi khi được gọi là "EDR killer", thường khai thác một lớp lỗ hổng liên quan đến các driver hợp pháp nhưng có lỗ hổng. Bởi vì Windows trao lòng tin cao cho một số driver đã ký ở cấp kernel, kẻ tấn công tải một driver có lỗ hổng lên máy mục tiêu và sử dụng nó như một phương tiện để kết thúc hoặc làm mù các tiến trình bảo mật đang chạy trong không gian người dùng. Kỹ thuật này, thường được gọi là Bring Your Own Vulnerable Driver (BYOVD), đã được nhiều chiến dịch ransomware áp dụng, trong đó có RansomHub, nhóm đã triển khai công cụ EDRKillShifter trong các chuỗi tấn công được ghi nhận.

Sức hấp dẫn đối với kẻ tấn công là rất rõ ràng. Một khi EDR bị vô hiệu hóa, các giai đoạn tấn công còn lại, bao gồm di chuyển ngang, trích xuất dữ liệu và mã hóa tệp tin, có thể diễn ra với nguy cơ bị phát hiện hoặc ngăn chặn giảm đi đáng kể. Đội ngũ bảo mật không nhìn thấy gì cho đến khi quá muộn.

Những bộ khung này cũng đang lan rộng vì rào cản gia nhập đang giảm xuống. Các bộ công cụ đang được thương mại hóa và chia sẻ trong các hệ sinh thái ransomware-as-a-service, nghĩa là các nhóm có trình độ kỹ thuật hạn chế giờ đây cũng có thể triển khai chúng cùng với các payload của mình.

Điều gì xảy ra khi lớp bảo mật điểm cuối của bạn chìm vào bóng tối

Hệ quả tức thì của một cú tiêu diệt EDR thành công là tình trạng mất hoàn toàn khả năng quan sát ở điểm cuối. Các đội ngũ trung tâm điều hành an ninh (SOC) mất dữ liệu từ xa. Các quy tắc phản hồi tự động ngừng kích hoạt. Những giả định được xây dựng trong các kịch bản ứng phó sự cố không còn đúng nữa.

Đây không chỉ đơn thuần là một vấn đề kỹ thuật. Nó là một vấn đề về tổ chức. Nhiều chương trình bảo mật đã được thiết kế dựa trên ý tưởng rằng EDR cung cấp một sàn phát hiện đáng tin cậy. Khi sàn đó biến mất, các đội thiếu các biện pháp kiểm soát bù trừ sẽ thấy mình đang ứng phó với một cuộc tấn công mà họ không thể thấy trước.

Mô hình rộng hơn ở đây kết nối với một sự thay đổi trong cách những kẻ tấn công có được quyền truy cập ban đầu ngay từ đầu. Như Báo cáo Điều tra Vi phạm Dữ liệu Verizon 2026 đã phát hiện, các lỗ hổng phần mềm đã vượt qua thông tin đăng nhập bị đánh cắp để trở thành điểm xâm nhập hàng đầu trong các vụ vi phạm. Kẻ tấn công khai thác lỗ hổng phần mềm để giành quyền truy cập, sau đó triển khai các công cụ vô hiệu hóa EDR để loại bỏ tầm nhìn, trước khi thực thi payload chính. Hai xu hướng này củng cố lẫn nhau.

Các tổ chức y tế đặc biệt dễ bị tổn thương. Hậu quả của một khoảng trống quan sát trong lĩnh vực vốn phụ thuộc vào các hệ thống luôn sẵn sàng là rất nghiêm trọng, như được chứng minh bởi các sự cố như vụ vi phạm ChipSoft, làm nổi bật cách mã hóa không đầy đủ làm trầm trọng thêm thiệt hại khi các lớp phòng thủ bị vượt qua.

Tại sao các lớp phòng thủ ở tầng mạng lấp đầy khoảng trống

Bảo mật điểm cuối và bảo mật tầng mạng không phải là dư thừa. Chúng quan sát những thứ khác nhau. Ngay cả khi EDR bị làm mù, lưu lượng mạng vẫn chảy, và lưu lượng đó mang theo những tín hiệu.

Các công cụ phát hiện và phản hồi mạng (NDR) giám sát lưu lượng đông-tây bên trong vành đai mạng, các mẫu di chuyển ngang, các truy vấn DNS bất thường và các kết nối ra ngoài không mong muốn. Quan trọng là, chúng hoạt động độc lập với tác nhân trên điểm cuối. Kẻ tấn công giết được tiến trình EDR không có cơ chế trực tiếp nào để đồng thời làm mù cơ sở hạ tầng giám sát mạng.

VPN và các đường hầm mã hóa đóng vai trò hỗ trợ trong bức tranh này. Ở cấp độ tổ chức, yêu cầu tất cả lưu lượng đi qua một cổng VPN được giám sát có nghĩa là ngay cả khi điểm cuối bị xâm nhập, đường dẫn mạng vẫn có thể quan sát được và phải tuân theo việc thực thi chính sách. Các kiến trúc truy cập mạng zero-trust (ZTNA) mở rộng điều này hơn nữa bằng cách yêu cầu xác minh liên tục ở tầng mạng, chứ không chỉ ở lần đăng nhập ban đầu.

Đối với nhân viên làm việc từ xa và các đội ngũ phân tán, việc thực thi VPN cũng đảm bảo rằng lưu lượng từ các điểm cuối có khả năng bị xâm nhập không hoàn toàn vượt qua các kiểm soát vành đai. Lớp mạng trở thành điểm kiểm tra thứ cấp mà phần mềm tiêu diệt EDR không thể đơn giản kết thúc.

Các bước thực tiễn: Phân lớp VPN và mã hóa cùng với EDR

Một kiến trúc bảo mật có khả năng phục hồi coi EDR là một lớp trong số nhiều lớp, chứ không phải là cơ chế phát hiện duy nhất. Dưới đây là các bước cụ thể mà tổ chức có thể thực hiện để giảm thiểu nguy cơ trước các cuộc tấn công vô hiệu hóa EDR.

Rà soát chính sách driver. Windows Defender Application Control (WDAC) có thể được cấu hình để chặn các driver có lỗ hổng đã biết trước khi chúng được tải. Microsoft duy trì một danh sách chặn cần được áp dụng chủ động và cập nhật thường xuyên. Điều này trực tiếp tấn công kỹ thuật BYOVD ngay từ nguồn gốc.

Bật tính năng chống can thiệp của EDR. Hầu hết các nền tảng EDR chính đều có tính năng chống can thiệp khiến việc kết thúc tác nhân từ không gian người dùng khó khăn hơn nhiều. Những tính năng này không phải lúc nào cũng được bật theo mặc định và nên được xác minh như một phần của bất kỳ cuộc rà soát bảo mật nào.

Đầu tư vào khả năng quan sát tầng mạng. Nếu hệ thống bảo mật hiện tại của bạn phụ thuộc nhiều vào dữ liệu từ xa điểm cuối, hãy bổ sung NDR hoặc phân tích luồng mạng để cung cấp một kênh phát hiện độc lập. Điều này đảm bảo rằng các nỗ lực di chuyển ngang và trích xuất dữ liệu vẫn có thể nhìn thấy ngay cả khi các điểm cuối bị xâm nhập.

Thực thi VPN hoặc ZTNA cho tất cả truy cập từ xa. Yêu cầu lưu lượng đi qua một cổng được giám sát tạo thêm một điểm kiểm tra thứ cấp. Kết hợp điều này với các chính sách truyền thông mã hóa để đảm bảo rằng ngay cả lưu lượng bị chặn cũng không cung cấp dữ liệu hữu ích cho kẻ tấn công.

Chạy các bài tập mô phỏng giả định EDR bị lỗi. Các kế hoạch ứng phó sự cố mặc định EDR luôn hoạt động sẽ thất bại đúng vào những tình huống mà chúng cần thiết nhất. Hãy thực hành ứng phó với các kịch bản khi dữ liệu từ xa điểm cuối không khả dụng.

Các nhóm vận hành ransomware đã thể hiện rõ chiến lược của mình: loại bỏ những công cụ được thiết kế để ngăn chặn chúng trước khi triển khai payload. Những tổ chức ứng phó tốt nhất sẽ là những tổ chức không phụ thuộc vào bất kỳ lớp đơn lẻ nào để gánh toàn bộ trách nhiệm phòng thủ. Bây giờ là lúc để rà soát hệ thống bảo mật của bạn, xác minh rằng các biện pháp kiểm soát bù trừ đã sẵn sàng ở tầng mạng, và đảm bảo các kế hoạch ứng phó sự cố của bạn tính đến một thế giới nơi các công cụ điểm cuối có thể không còn ở đó khi bạn cần chúng nhất.