Các nhà nghiên cứu bảo mật gần đây đã công bố một kỹ thuật đột phá, khai thác call gadgets để chèn các module tùy ý vào ngăn xếp cuộc gọi (call stack) trong quá trình tải module. Phương pháp này đã được chứng minh là có khả năng bỏ qua hiệu quả các quy tắc phát hiện dựa trên chữ ký của Elastic EDR. Đây là một ví dụ điển hình về một phương thức khai thác zero-day, nhấn mạnh vào việc tìm kiếm và khai thác những điểm yếu mới trong các hệ thống phòng thủ tiên tiến.

Sự minh bạch của Elastic trong việc công bố logic phát hiện và các công cụ kiểm thử payload của mình là một yếu tố quan trọng. Chính sách này đã cho phép cộng đồng bảo mật, bao gồm các nhà nghiên cứu độc lập, hiểu rõ hơn về cách thức hoạt động của các cơ chế EDR của Elastic và qua đó thách thức chúng. Không giống như nhiều nhà cung cấp khác, việc cung cấp quyền truy cập công khai vào các quy tắc phát hiện đã tạo điều kiện thuận lợi cho việc mô phỏng và phân tích các kỹ thuật né tránh thực tế, góp phần vào sự phát triển không ngừng của bảo mật mạng.

Cơ Chế Phát Hiện Của Elastic EDR và Bối Cảnh Các Cuộc Tấn Công Mạng

Phân Tích Ngăn Xếp Cuộc Gọi: Nền Tảng Phát Hiện

Engine phát hiện của Elastic EDR đặc biệt chú trọng vào việc phân tích các ngăn xếp cuộc gọi như một phương tiện chính để nhận diện hoạt động độc hại. Các tải module đáng ngờ là một trọng tâm, đặc biệt là những module được khởi tạo từ các vùng bộ nhớ không được hỗ trợ (tức là tồn tại trong bộ nhớ chứ không phải từ đĩa). Những hành vi này có mối liên hệ chặt chẽ với các loại tấn công mạng tinh vi, điển hình là shellcode injection.

Các quy tắc phát hiện của Elastic được thiết kế để theo dõi các mô hình cụ thể. Ví dụ, việc phát hiện các module mạng được tải từ bộ nhớ không được hỗ trợ là một chỉ báo mạnh mẽ về các kỹ thuật tiêu chuẩn được sử dụng bởi các công cụ Command-and-Control (C2) implant. Mục tiêu là để phát hiện các hành vi bất thường trong quá trình thực thi chương trình, nơi mà luồng điều khiển của ứng dụng bị thay đổi theo cách không mong muốn hoặc độc hại.

Các Phương Pháp Né Tránh EDR Phổ Biến và Phản Ứng của Elastic

Trong suốt quá trình phát triển của các mối đe dọa, các tác nhân độc hại đã không ngừng tìm kiếm và áp dụng nhiều phương pháp để né tránh phát hiện của EDR bằng cách thao túng ngăn xếp cuộc gọi. Các kỹ thuật như call stack spoofing (giả mạo ngăn xếp cuộc gọi) và API proxying (ủy quyền API) đã được cộng đồng nghiên cứu và phân tích rất chi tiết. Để đối phó, Elastic đã liên tục cập nhật và giới thiệu các quy tắc bổ sung. Các quy tắc này thường tập trung vào các thư viện hệ thống cụ thể, nhằm giảm thiểu báo động giả (false positives) và duy trì hiệu suất hoạt động của hệ thống EDR.

Một quy tắc phát hiện điển hình có thể tìm kiếm một cấu trúc ngăn xếp cuộc gọi cụ thể hoặc các chữ ký chỉ ra các cuộc gọi đã bị giả mạo hoặc proxy. Các quy tắc này được tạo ra để nắm bắt các tải thư viện được khởi tạo trong các ngữ cảnh được coi là đáng ngờ. Đây là một thách thức không ngừng trong bảo mật mạng khi kẻ tấn công và người phòng thủ liên tục đổi mới.

Kỹ Thuật Né Tránh Mới: Chèn Module Bằng Call Gadgets để Tạo Ra Lỗ Hổng Zero-Day

Cơ Chế Khai Thác Call Gadgets để Thao Túng Ngăn Xếp Cuộc Gọi

Nghiên cứu mới đã giới thiệu một kỹ thuật né tránh sáng tạo dựa trên việc sử dụng các call gadgets. Mục tiêu là chèn một module tùy ý vào ngăn xếp cuộc gọi, từ đó phá vỡ mô hình dự kiến mà các quy tắc phát hiện của Elastic đang tìm kiếm. Đây là một hình thức khai thác zero-day mới, cho thấy khả năng vượt qua các biện pháp bảo vệ hiện tại bằng cách tận dụng các thành phần hợp pháp của hệ thống.

Bằng cách khai thác các lệnh gọi có thể kiểm soát (gadgets) tồn tại trong các DLL hệ thống – những thư viện hiện không bị nhắm mục tiêu bởi các chữ ký EDR hiện có – các nhà nghiên cứu có thể thay đổi ngăn xếp cuộc gọi được ghi nhận trong các hoạt động tải module. Điều này tạo ra một “điểm mù” cho EDR, nơi hoạt động độc hại có thể ẩn mình.

Ví Dụ Bằng Chứng Khái Niệm (Proof-of-Concept) Chi Tiết

Bằng chứng khái niệm (Proof-of-Concept) được công bố đã khai thác một call-ret gadget cụ thể. Gadget này được tìm thấy trong một phiên bản cũ của thư viện dsdmo.dll. Khi một thư viện mạng (ví dụ: wininet.dll) được tải, thay vì luồng thực thi thông thường, kẻ tấn công có thể nhảy đến gadget này.

Khi đó, module được chèn sẽ xuất hiện trong ngăn xếp cuộc gọi theo một cách thức không mong đợi, làm gián đoạn chữ ký và ngăn cảnh báo EDR kích hoạt. Hậu quả là, một hoạt động trước đây có thể bị phát hiện sẽ không bị tác nhân EDR chú ý. Kỹ thuật này tiếp nối các nghiên cứu trước đây về shellcode obfuscation và callback-based API proxying, nhưng nâng cấp chúng bằng cách tìm kiếm và sử dụng các gadget thực tế trong các DLL hệ thống.

Mặc dù gadget được thử nghiệm trong PoC xuất phát từ một phiên bản dsdmo.dll không còn được dùng nữa, nghiên cứu đã phác thảo một quy trình chi tiết để tìm kiếm các gadget tương tự trong các bộ DLL hiện tại. Điều này chứng tỏ rằng phương pháp này không chỉ là một trường hợp cá biệt mà là một mô hình tấn công có thể áp dụng rộng rãi, đặt ra thách thức lớn cho các hệ thống phòng thủ trước các tấn công mạng mới.

Ảnh Hưởng, Biện Pháp Phản Ứng và Sự Phát Triển Liên Tục của Bảo Mật Mạng

Giới Hạn của Kỹ Thuật và Khả Năng Phát Hiện Tổng Thể

Điều quan trọng cần lưu ý là phát hiện này chỉ giải quyết một bỏ qua phát hiện cụ thể, tập trung vào việc tải module mạng dựa trên shellcode. Elastic EDR vẫn có nhiều lớp phòng thủ và cung cấp các cơ hội bổ sung để phát hiện hoạt động độc hại trong suốt vòng đời của một cuộc tấn công, từ khâu xâm nhập ban đầu đến leo thang đặc quyền và duy trì sự hiện diện. Tuy nhiên, sự xuất hiện của kỹ thuật này như một lỗ hổng zero-day mới nhấn mạnh sự tiến hóa không ngừng của các chiến lược né tránh và phát hiện.

Tiết Lộ Có Trách Nhiệm và Cập Nhật Bảo Mật

Các nhà nghiên cứu đã thực hiện việc tiết lộ có trách nhiệm phương pháp này cho Elastic. Hiện tại, Elastic đang tích cực cập nhật các quy tắc phát hiện của mình để xử lý và khắc phục kỹ thuật né tránh này. Công việc này một lần nữa khẳng định tầm quan trọng của sự hợp tác liên tục và minh bạch trong cộng đồng bảo mật, một yếu tố then chốt để liên tục củng cố các biện pháp phòng thủ an ninh mạng toàn cầu.

Để tìm hiểu sâu hơn về nghiên cứu này và các chi tiết kỹ thuật liên quan đến việc né tránh chữ ký ngăn xếp cuộc gọi của Elastic, bạn có thể tham khảo báo cáo đầy đủ từ nguồn đáng tin cậy: Evading Elastic Callstack Signatures.