Một chủng ransomware mới có tên GodDamn đang gây chú ý vì một kỹ thuật khiến bất kỳ ai tin rằng phần mềm diệt virus có tiếng nói cuối cùng về những gì chạy trên máy của mình phải lo ngại. Theo báo cáo từ Dark Reading, những kẻ tấn công đứng sau GodDamn đang sử dụng một driver hạt nhân độc hại mà chính Microsoft đã ký, biến chứng chỉ số đáng tin cậy thành vũ khí chống lại chính các công cụ bảo mật được thiết kế để ngăn chặn nó. Đây là một ví dụ điển hình về tấn công BYOVD, viết tắt của 'Bring Your Own Vulnerable Driver' (Mang Theo Driver Dễ Bị Tổn Thương Của Riêng Bạn), và nó đang trở thành một trong những chiêu trò đáng tin cậy nhất trong sổ tay của các nhóm vận hành ransomware.
Điều Gì Đã Xảy Ra
Ransomware GodDamn đã tấn công các công ty Hoa Kỳ bằng cách triển khai một driver cấp hạt nhân mang chữ ký hợp pháp của Microsoft. Vì Windows tin tưởng các driver đã ký để hoạt động sâu bên trong hệ điều hành, driver này đã có thể vượt qua các lớp phòng thủ và vô hiệu hóa phần mềm bảo mật trước khi tải trọng ransomware thực sự được thực thi. Một khi lớp bảo vệ điểm cuối bị vô hiệu, kẻ tấn công tự do mã hóa tập tin và di chuyển qua mạng mà hầu như không bị phát hiện. Việc Microsoft đã ký driver này ngay từ đầu là chi tiết đáng chú ý nhất: điều đó có nghĩa là mã độc không cần khai thác lỗ hổng trong Windows mà đúng hơn là lợi dụng lòng tin đặt vào chính quy trình ký.
Cách BYOVD Vượt Qua Hệ Thống Bảo Mật Của Bạn
Driver hạt nhân hoạt động ở mức đặc quyền cao nhất trên máy Windows, hiệu quả là nằm bên dưới lớp mà hầu hết các công cụ diệt virus và phát hiện điểm cuối chạy. Đó chính xác là lý do kẻ tấn công muốn có một driver như vậy. Một driver có chữ ký hợp lệ không kích hoạt sự giám sát giống như một tệp thực thi không được ký hoặc không xác định, vì vậy nó có thể âm thầm tải rồi được dùng để vô hiệu hóa, làm mù hoặc tiêu diệt các tiến trình bảo mật khác đang chạy trên hệ thống.
Điều này còn vượt ra ngoài phạm vi diệt virus truyền thống. Phần mềm máy khách VPN, công cụ lọc DNS và các ứng dụng bảo mật hay quyền riêng tư khác cũng chạy dưới dạng tiến trình trên cùng hệ điều hành, và chúng cũng dễ bị tắt ngang bởi kẻ tấn công đã có quyền kiểm soát cấp hạt nhân. VPN mã hóa lưu lượng của bạn và có thể giúp ngăn một số hình thức rình mò mạng, nhưng nó không bao giờ được thiết kế để ngăn một driver độc hại vô hiệu hóa phần mềm bảo mật ở cấp hệ điều hành. Một khi kẻ tấn công đã có quyền truy cập hạt nhân, chúng hoạt động bên dưới tầm nhìn của hầu hết các công cụ bảo mật tiêu dùng và doanh nghiệp, đó chính xác là lý do phòng thủ theo lớp mới quan trọng thay vì chỉ dựa vào một công cụ duy nhất.
BYOVD không mới, nhưng nó đã trở thành một kỹ thuật được ưa chuộng chính vì nó hoạt động quá hiệu quả trước các lớp phòng thủ hiện đại. Các nhóm vận hành ransomware ngày càng tích hợp trực tiếp khả năng này vào phần mềm độc hại của chúng thay vì coi đây là một công cụ riêng biệt được triển khai trước đó, điều này đẩy nhanh các cuộc tấn công và khiến việc phát hiện khó khăn hơn. Mô hình rộng hơn về việc kẻ tấn công di chuyển nhanh chóng một khi tìm thấy thứ gì đó hiệu quả đang hiển hiện trên khắp bối cảnh ransomware hiện nay. Các nhóm tống tiền cũng sẵn sàng tấn công nhanh vào cơ sở hạ tầng quan trọng, như đã thấy khi SpaceBears nhắm vào một nhà mạng Pháp hồi đầu năm nay, và các chiến dịch đánh cắp dữ liệu quy mô lớn như vụ do ShinyHunters tuyên bố nhắm vào NAIC cho thấy lượng dữ liệu bị đe dọa ra sao một khi các lớp phòng thủ ban đầu thất bại.
Tại Sao Điều Này Quan Trọng Với Bảo Mật Thiết Bị Của Bạn
Bài học cốt lõi từ GodDamn không phải là về ransomware một cách riêng lẻ, mà là về sự mong manh của các mô hình bảo mật dựa trên lòng tin. Mã đã ký, chứng chỉ đã xác minh và sự phê duyệt của nhà cung cấp đều nhằm báo hiệu sự an toàn, nhưng kẻ tấn công liên tục tìm cách lạm dụng chính những tín hiệu đó. Tốc độ cũng là một yếu tố. Giống như kẻ tấn công đã nhanh chóng xâm nhập hàng chục nghìn máy chủ sau khi lỗ hổng bỏ qua xác thực cPanel nghiêm trọng bị tiết lộ, các nhóm ransomware cũng nhanh chóng vận dụng bất kỳ kỹ thuật nào, bao gồm cả driver độc hại đã ký, để giành lợi thế trước người phòng thủ.
Đối với cả người dùng thông thường lẫn quản trị viên CNTT, điều này củng cố một điểm đơn giản: một lớp bảo mật duy nhất, dù là diệt virus, VPN hay tường lửa, tự thân nó là không đủ. Phòng thủ theo chiều sâu, tức là nhiều lớp bảo vệ chồng lấp, vẫn là cách thực tế nhất để giảm rủi ro khi kẻ tấn công đang tích cực tìm cách vượt qua bất kỳ biện pháp kiểm soát đơn lẻ nào.
Điều Này Có Ý Nghĩa Gì Với Bạn
Nếu bạn quản lý các hệ thống Windows, dù tại nhà hay trong môi trường doanh nghiệp, chiến dịch ransomware GodDamn là một lời nhắc nhở hãy luôn cập nhật việc thực thi chữ ký driver, phát hiện điểm cuối và quản lý bản vá. Windows có các cơ chế để chặn các driver đã biết là xấu, và việc cập nhật những lớp phòng thủ này là cần thiết vì kẻ tấn công dựa vào danh sách chặn lỗi thời để lén đưa driver dễ bị tổn thương qua mặt hệ thống phát hiện.
VPN vẫn là một phần giá trị trong bộ công cụ bảo mật và quyền riêng tư của bạn, đặc biệt để mã hóa lưu lượng trên các mạng không đáng tin cậy và hạn chế tiếp xúc với một số hình thức giám sát, nhưng nó nên được hiểu là một lớp trong số nhiều lớp thay vì là một phòng tuyến hoàn chỉnh chống lại phần mềm độc hại tinh vi. Kết hợp một VPN uy tín với phần mềm diệt virus được cập nhật, các bản vá hệ điều hành kịp thời và xử lý thận trọng các tệp tải xuống và tệp đính kèm email sẽ mang lại cho bạn một tư thế tổng thể mạnh mẽ hơn nhiều so với chỉ dựa vào bất kỳ công cụ đơn lẻ nào.
Những Điểm Hành Động Cụ Thể
Luôn cập nhật đầy đủ Windows và tất cả phần mềm bảo mật, vì Microsoft định kỳ cập nhật danh sách chặn driver dễ bị tổn thương để vá những lỗ hổng như thế này. Bật các tính năng toàn vẹn bộ nhớ và cô lập lõi trong cài đặt Bảo mật Windows ở nơi được hỗ trợ, vì những tính năng này có thể khiến các cuộc tấn công BYOVD khó thực hiện hơn. Sao lưu dữ liệu quan trọng thường xuyên và lưu trữ bản sao ngoại tuyến để việc mã hóa của ransomware không thể giữ tập tin của bạn làm con tin. Hãy coi VPN của bạn là một phần của chiến lược bảo mật rộng hơn thay vì một lá chắn độc lập, kết hợp nó với bảo vệ điểm cuối và thói quen duyệt web an toàn. Cuối cùng, hãy cập nhật thông tin về các kỹ thuật BYOVD và ransomware mới nổi, vì hiểu cách kẻ tấn công vượt qua phòng thủ dựa trên lòng tin là bước đầu tiên để đóng những lỗ hổng đó trước khi chúng tiếp cận bạn.




