Một nghiên cứu bảo mật đã công bố một phương pháp tinh vi mới để trích xuất thông tin xác thực và bí mật của Windows, có khả năng vượt qua hầu hết các giải pháp Endpoint Detection and Response (EDR) hiện có. Kỹ thuật này, được đặt tên là Silent Harvest, khai thác các API Windows ít được biết đến để truy cập dữ liệu registry nhạy cảm mà không kích hoạt các cảnh báo bảo mật thông thường, tạo ra một mối đe dọa mạng mới.

Kỹ thuật Silent Harvest và Cơ chế Vượt qua EDR

Hạn chế của Phương pháp Trích xuất Thông tin Xác thực Truyền thống

Các phương pháp trích xuất thông tin xác thực Windows truyền thống ngày càng trở nên không đáng tin cậy. Các giải pháp bảo mật hiện đại đã phát triển để dễ dàng phát hiện và ngăn chặn chúng.

Hầu hết các kỹ thuật hiện có dựa vào các cách tiếp cận phổ biến như tạo bản sao dự phòng của các hive registry nhạy cảm, cho phép truy cập registry từ xa, hoặc tương tác trực tiếp với tiến trình Local Security Authority Subsystem Service (LSASS) được giám sát chặt chẽ.

Windows Local Security Authority quản lý thông tin xác thực, bao gồm các hash mật khẩu, thông qua các hive registry được bảo vệ như SAM và SECURITY. Tuy nhiên, việc truy cập các hive này thường yêu cầu đặc quyền cấp SYSTEM và tạo ra bằng chứng pháp lý đáng kể.

Các phương pháp hiện hành thường tạo bản sao dự phòng của các hive registry trên đĩa hoặc kích hoạt dịch vụ registry từ xa. Cả hai hành động này đều để lại các chỉ số xâm nhập (IOC) rõ ràng mà các công cụ bảo mật hiện đại có thể dễ dàng phát hiện xâm nhập.

Cơ chế Phát hiện của EDR đối với Hoạt động Registry

Các giải pháp EDR hiện đại sử dụng các cơ chế phát hiện tinh vi, tập trung vào các quy trình callback ở chế độ kernel để giám sát các sự kiện hệ thống quan trọng.

Các sản phẩm bảo mật này đăng ký các callback với kernel Windows bằng cách sử dụng các hàm như CmRegisterCallbackEx. Điều này giúp chúng nhận thông báo mỗi khi có hoạt động registry xảy ra.

Khi có nỗ lực truy cập registry, kernel cung cấp cho các driver EDR thông tin ngữ cảnh chi tiết. Thông tin này bao gồm loại hoạt động cụ thể và đường dẫn đầy đủ của khóa hoặc giá trị registry được nhắm mục tiêu.

Điều này cho phép các giải pháp bảo mật xác định hoạt động đáng ngờ nhắm vào các vị trí nhạy cảm như HKLMSAM và HKLMSECURITY.

Để duy trì hiệu suất hệ thống, các sản phẩm EDR chỉ giám sát chọn lọc các hoạt động registry liên quan đến bảo mật nhất, thay vì theo dõi mọi sự kiện hệ thống. Cách tiếp cận tập trung này giúp chúng phát hiện xâm nhập khi có nỗ lực thu thập thông tin xác thực trong khi giảm thiểu tác động hiệu suất lên các hoạt động hệ thống thông thường.

Chi tiết Kỹ thuật của Silent Harvest

Kết hợp API Độc đáo để Vượt qua Giám sát

Kỹ thuật Silent Harvest vượt qua cả hạn chế kiểm soát truy cập và khả năng phát hiện của EDR bằng cách kết hợp hai API Windows ít được sử dụng.

Kỹ thuật này sử dụng hàm NtOpenKeyEx với cờ REG_OPTION_BACKUP_RESTORE. Cờ này bỏ qua các kiểm tra Danh sách Kiểm soát Truy cập (ACL) thông thường khi người gọi đã kích hoạt đặc quyền SeBackupPrivilege.

Quan trọng hơn, phương pháp Silent Harvest sử dụng RegQueryMultipleValuesW để đọc các giá trị registry thay vì các API thường được giám sát như RegQueryValueExW hoặc NtQueryValueKey.

Chức năng hiếm khi được sử dụng này dường như đã bị các nhà cung cấp EDR bỏ qua khi phát triển các quy tắc giám sát của họ. Điều này cho phép Silent Harvest truy cập dữ liệu nhạy cảm mà không kích hoạt các cảnh báo bảo mật.

Các thử nghiệm trên nhiều nền tảng EDR đã xác nhận rằng các lệnh gọi RegQueryMultipleValuesW đối với các giá trị registry nhạy cảm cao không tạo ra bất kỳ cảnh báo bảo mật nào. Chi tiết về nghiên cứu có thể được tìm thấy tại Silent Harvest: Extracting Windows Secrets Under The Radar.

Tác động và Khó khăn trong Phát hiện

Toàn bộ hoạt động của Silent Harvest diễn ra trong bộ nhớ. Nó không tạo bản sao dự phòng hive registry hoặc gọi các API thường xuyên được giám sát. Điều này làm cho việc phát hiện xâm nhập trở nên cực kỳ khó khăn với các giải pháp bảo mật hiện tại.

Kết quả nghiên cứu này nhấn mạnh cuộc chiến “mèo vờn chuột” đang diễn ra giữa các nhà nghiên cứu bảo mật và công nghệ phòng thủ. Nó chỉ ra cách các chức năng hệ thống bị bỏ qua có thể cung cấp các con đường mới để vượt qua các kiểm soát bảo mật đã thiết lập. Việc hiểu rõ kỹ thuật Silent Harvest là cần thiết để tăng cường an ninh mạng.

Các nhà nghiên cứu và đội đỏ (red team) có thể tận dụng Silent Harvest để đánh giá tính hiệu quả của các giải pháp EDR. Trong khi đó, các nhà phát triển giải pháp bảo mật cần cập nhật cơ chế giám sát của họ để chống lại các mối đe dọa mạng mới nổi này, đặc biệt là các biến thể của Silent Harvest.