Mã độc vô hiệu hóa AV nguy hiểm: Khai thác lỗ hổng CVE

07/08/2025
4 mins read
Mã độc vô hiệu hóa AV nguy hiểm: Khai thác lỗ hổng CVE

Các tác nhân đe dọa đã triển khai một biến thể mã độc vô hiệu hóa AV (antivirus) mới, ít nhất từ tháng 10 năm 2024. Mã độc này tận dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) bằng cách khai thác driver hợp lệ ThrottleStop.sys để vô hiệu hóa các giải pháp bảo mật.

Mã độc, được Kaspersky phát hiện với tên gọi Win64.KillAV., có khả năng chấm dứt có hệ thống các tiến trình AV. Điều này mở đường cho việc triển khai ransomware, điển hình là biến thể MedusaLocker.

Nội dung
Chi tiết cuộc tấn công mạng

Giai đoạn chuẩn bị và lây lan
Phân tích kỹ thuật mã độc vô hiệu hóa AV

Driver ThrottleStop.sys và CVE-2025-7771
Cơ chế hoạt động của All.exe
Kỹ thuật Hijack NtAddAtom Syscall
Phạm vi ảnh hưởng và các nhóm liên quan
Chỉ số thỏa hiệp (IOCs) và Kỹ thuật, Chiến thuật, Quy trình (TTPs)

Chỉ số thỏa hiệp (IOCs)
Kỹ thuật, Chiến thuật và Quy trình (TTPs)
Biện pháp giảm thiểu rủi ro bảo mật

Chi tiết cuộc tấn công mạng

Vụ việc bắt đầu khi những kẻ tấn công giành được quyền truy cập ban đầu vào một máy chủ SMTP. Việc truy cập này thông qua thông tin đăng nhập RDP hợp lệ từ Bỉ, do chính sách mật khẩu yếu và quyền truy cập từ xa bị lộ.

Sử dụng công cụ Mimikatz, kẻ tấn công đã trích xuất các hash NTLM. Tiếp theo, chúng thực hiện di chuyển ngang qua kỹ thuật pass-the-hash với các công cụ PowerShell như Invoke-WMIExec.ps1Invoke-SMBExec.ps1.

Những script này đã hỗ trợ việc tạo các tài khoản người dùng tuần tự (ví dụ: User1, User2) với mật khẩu đồng nhất. Các tài khoản này sau đó được thêm vào các nhóm quản trị trên khắp các điểm cuối mạng.

Giai đoạn chuẩn bị và lây lan

Các artifact, bao gồm AV killer (All.exe) và ransomware (haz8.exe), được đặt trong các thư mục như C:UsersAdministratorMusic trên máy chủ thư điện tử. Sau đó, chúng được phát tán đến C:UsersUserNPictures trên các máy bị xâm nhập.

Ban đầu, Windows Defender đã cách ly ransomware trên một số hệ thống. Tuy nhiên, kẻ tấn công đã nhanh chóng vô hiệu hóa nó bằng phương pháp BYOVD, cho phép mã hóa không bị kiểm soát.

Chuỗi tấn công này nhấn mạnh các lỗ hổng trong chiến lược phòng thủ đa lớp. Ngay cả các giải pháp AV đã triển khai cũng có thể thất bại trước các driver không bị phát hiện, vượt qua các biện pháp bảo vệ.

Tuy nhiên, sản phẩm Kaspersky Endpoint Security đã chống lại được sự can thiệp này. Điều này nhờ vào các cơ chế tự vệ mạnh mẽ giúp bảo vệ các tiến trình bộ nhớ, các khóa registry và tệp tin hệ thống.

Phân tích kỹ thuật mã độc vô hiệu hóa AV

Thành phần chính của mã độc vô hiệu hóa AV bao gồm ThrottleBlood.sys. Đây là một driver ThrottleStop.sys hợp pháp đã được đổi tên và ký số (liên quan đến CVE-2025-7771), cùng với All.exe. All.exe khai thác các lỗ hổng của driver để thực hiện thao tác ở cấp độ kernel.

Driver ThrottleStop.sys và CVE-2025-7771

Driver này được TechPowerUp LLC ký vào năm 2020 bằng chứng chỉ DigiCert. Nó tạo một thiết bị tại .ThrottleStop, phơi bày các bộ xử lý IOCTL cho phép đọc và ghi bộ nhớ vật lý tùy ý thông qua MmMapIoSpace.

Cơ chế hoạt động của All.exe

All.exe, với đặc quyền quản trị, tải driver bằng các API của Service Control Manager như OpenSCManagerAStartServiceW. Sau đó, nó truy xuất địa chỉ cơ sở kernel thông qua NtQuerySystemInformation với SystemModuleInformation.

Sử dụng kỹ thuật SuperFetch từ một thư viện mã nguồn mở, All.exe chuyển đổi địa chỉ ảo thành địa chỉ vật lý bằng các truy vấn SystemSuperfetchInformation.

Kỹ thuật Hijack NtAddAtom Syscall

Theo báo cáo từ Kaspersky, mã độc vô hiệu hóa AV này chiếm quyền điều khiển syscall NtAddAtom. Nó thực hiện điều này bằng cách chèn shellcode ghi đè lên mã kernel của syscall, cho phép gọi gián tiếp các hàm như PsLookupProcessByIdPsTerminateProcess để tiêu diệt các tiến trình AV mục tiêu.

Chuỗi mã cứng trong All.exe liệt kê các tiến trình từ các nhà cung cấp lớn, bao gồm:

  • AvastSvc.exe (Avast)
  • MsMpEng.exe (Microsoft)
  • avp.exe (Kaspersky)
  • Các tiến trình khác từ Bitdefender, CrowdStrike, ESET, McAfee, Symantec, và Sophos.

Khi phát hiện thông qua Process32FirstWProcess32NextW, các tiến trình phù hợp sẽ bị chấm dứt trong một vòng lặp, nhằm chống lại việc khởi động lại của các giải pháp như Windows Defender.

Việc tiêm mã kernel này khôi phục mã gốc sau khi thực thi để tránh sự cố hệ thống, thể hiện khả năng né tránh tiên tiến của mã độc vô hiệu hóa AV.

Độc giả có thể tham khảo thêm chi tiết kỹ thuật về cơ chế khai thác driver ThrottleStop.sys và hoạt động của AV killer trong bài viết chuyên sâu của Kaspersky tại Securelist.

Phạm vi ảnh hưởng và các nhóm liên quan

Các nạn nhân của chiến dịch này trải rộng ở Nga, Belarus, Kazakhstan, Ukraine và Brazil. Các cuộc tấn công có liên quan đến các nhóm ransomware như MedusaLocker và các nhóm khác sử dụng chung hạ tầng ShadowSyndicate.

Chỉ số thỏa hiệp (IOCs) và Kỹ thuật, Chiến thuật, Quy trình (TTPs)

Chỉ số thỏa hiệp (IOCs)

  • Tệp thực thi mã độc:
    • All.exe (AV killer)
    • haz8.exe (Ransomware)

Kỹ thuật, Chiến thuật và Quy trình (TTPs)

Các TTPs được xác định liên quan đến cuộc tấn công này bao gồm:

  • Phát hiện tiến trình (T1057): Tìm kiếm và nhận diện các tiến trình AV đang chạy.
  • Vô hiệu hóa phòng thủ (T1562.001/006): Ghi đè hoặc chấm dứt các tiến trình bảo mật.
  • Tạo dịch vụ (T1543.003): Tạo dịch vụ để tải và thực thi driver độc hại.
  • Dừng dịch vụ (T1489): Chấm dứt các dịch vụ liên quan đến AV.

Một quy tắc YARA đã được phát triển để phát hiện mối đe dọa này. Quy tắc này khớp với các import của PE, các chuỗi như ntoskrnl.exeNtAddAtom, cùng với các mã IOCTL đặc trưng.

rule Win64_KillAV
{
    meta:
        author = "Your Name/Organization"
        description = "Detects Win64.KillAV malware exploiting ThrottleStop.sys"
        date = "2024-10-28"
        reference = "https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/"
        malware_family = "KillAV, MedusaLocker"
        attack_vector = "BYOVD"

    strings:
        $s1 = "ThrottleStop.sys" ascii wide nocase
        $s2 = "\.\ThrottleStop" ascii wide nocase
        $s3 = "MmMapIoSpace" ascii wide nocase
        $s4 = "NtAddAtom" ascii wide nocase
        $s5 = "ntoskrnl.exe" ascii wide nocase
        $s6 = "PsLookupProcessById" ascii wide nocase
        $s7 = "PsTerminateProcess" ascii wide nocase
        $s8 = "AvastSvc.exe" ascii wide nocase
        $s9 = "MsMpEng.exe" ascii wide nocase
        $s10 = "avp.exe" ascii wide nocase
        $s11 = "Process32FirstW" ascii wide nocase
        $s12 = "Process32NextW" ascii wide nocase

    condition:
        uint16(0) == 0x5a4d and // MZ header
        uint32(uint32(0x3c)) == 0x00004550 and // PE header
        filesize < 5MB and
        (1 of ($s*))
}

Biện pháp giảm thiểu rủi ro bảo mật

Để bảo vệ hệ thống khỏi các mối đe dọa tương tự như mã độc vô hiệu hóa AV, cần áp dụng các biện pháp phòng ngừa sau:

  • Application Whitelisting: Chỉ cho phép các ứng dụng đã được phê duyệt chạy trên hệ thống.
  • Network Segmentation: Phân đoạn mạng để hạn chế sự di chuyển ngang của kẻ tấn công.
  • Multi-Factor Authentication (MFA): Bắt buộc xác thực đa yếu tố cho mọi tài khoản truy cập.
  • Cập nhật bản vá bảo mật: Thường xuyên cập nhật các bản vá bảo mật cho hệ điều hành và phần mềm, đặc biệt là các driver.
  • Giám sát EDR: Triển khai và giám sát chặt chẽ các giải pháp Endpoint Detection and Response (EDR).
  • Tự phòng vệ trong sản phẩm AV: Đảm bảo các sản phẩm AV được cấu hình để bật tính năng tự bảo vệ mạnh mẽ.