Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

ABYSSWORKER: Driver Độc Hại Giúp Hacker Ẩn Mình Khỏi Hệ Thống An Ninh

Updated
11 min read
ABYSSWORKER: Driver Độc Hại Giúp Hacker Ẩn Mình Khỏi Hệ Thống An Ninh
N
Nguyễn Văn Trung
Part of seriesNewsletters

Thông tin chi tiết

Trong thế giới an ninh mạng, tội phạm mạng ngày càng tinh vi. Một trong những thủ đoạn mới nhất của chúng là sử dụng các driver độc hại để vô hiệu hóa các hệ thống bảo vệ, đặc biệt là các hệ thống phát hiện và phản hồi điểm cuối (EDR). Hôm nay, chúng ta sẽ cùng tìm hiểu về một driver độc hại có tên ABYSSWORKER, được sử dụng trong chiến dịch ransomware MEDUSA, và cách nó hoạt động để qua mặt các công cụ bảo mật.

ABYSSWORKER là một driver độc hại được tội phạm mạng sử dụng để tấn công các hệ thống EDR, giúp chúng triển khai ransomware mà không bị phát hiện. Đây là một phần của chiến dịch có động cơ tài chính do Elastic Security Labs phát hiện, sử dụng ransomware MEDUSA thông qua một loader được đóng gói bởi HEARTCRYPT.

  • Cách hoạt động: ABYSSWORKER giả mạo một driver hợp pháp (cụ thể là driver của CrowdStrike Falcon), sau đó vô hiệu hóa các hệ thống EDR bằng cách chấm dứt tiến trình, xóa các hàm bảo vệ, và thậm chí khởi động lại máy tính nạn nhân.

  • Nguồn gốc: Driver này được ký bằng các chứng chỉ bị đánh cắp từ các công ty Trung Quốc, và đã xuất hiện trong nhiều chiến dịch khác nhau, với lần đề cập sớm nhất vào năm 2022 bởi Google Cloud Mandiant (dưới tên POORTRY).

Trong bài viết này, chúng ta sẽ phân tích cách ABYSSWORKER hoạt động, các kỹ thuật nó sử dụng, và cách bạn có thể nghiên cứu thêm về nó.

1. Driver giả mạo và chứng chỉ bị đánh cắp

ABYSSWORKER là một driver PE 64-bit của Windows, có tên smuol.sys, và giả mạo một driver hợp pháp của CrowdStrike Falcon. Điều này giúp nó dễ dàng qua mặt các kiểm tra ban đầu.

  • Chứng chỉ: Driver này được ký bằng các chứng chỉ bị đánh cắp và đã bị thu hồi từ các công ty Trung Quốc, ví dụ:
FingerprintName
51 68 1b 3c 9e 66 5d d0 b2 9e 25 71 46 d5 39 dcFoshan Gaoming Kedeyu Insulation Materials Co., Ltd
7f 67 15 0f bb 0d 25 4e 47 42 84 c7 f7 81 9c 4fFEI XIAO
72 88 1f 10 cd 24 8a 33 e6 12 43 a9 e1 50 ec 1dFuzhou Dingxin Trade Co., Ltd.
75 e8 e7 b9 04 3b 13 df 60 e7 64 99 66 30 21 c1Changsha Hengxiang Information Technology Co., Ltd
03 93 47 e6 1d ec 6f 63 98 d4 d4 6b f7 32 65 6cXinjiang Yishilian Network Technology Co., Ltd
4e fa 7e 7b ba 65 ec 1a b7 74 f2 b3 13 57 d5 99Shenzhen Yundian Technology Co., Ltd
  • Thời gian xuất hiện: Các mẫu của ABYSSWORKER được tìm thấy trên VirusTotal từ ngày 08/08/2024 đến 24/02/2025. Hầu hết được bảo vệ bằng VMProtect, nhưng một số mẫu không được mã hóa.

2. Che giấu mã để tránh bị phát hiện

ABYSSWORKER sử dụng một số kỹ thuật để làm khó việc phân tích mã:

  • Hàm trả về giá trị cố định: Nó có các hàm luôn trả về cùng một giá trị (ví dụ: luôn trả về 0), được gọi lặp đi lặp lại để làm rối phân tích tĩnh. Tuy nhiên, chỉ có 3 hàm như vậy, và chúng dễ bị nhận diện, nên kỹ thuật này không thực sự hiệu quả.

  • Ví dụ: Một hàm tại địa chỉ 0x3238 luôn trả về 0, và một hàm suy luận tại 0xF0B4 được sử dụng để tạo giá trị cố định.

    Derivation function 0xF0B4

3. Quá trình khởi tạo

Khi được cài đặt, ABYSSWORKER thực hiện các bước sau để chuẩn bị hoạt động:

  • Tải con trỏ kernel: Nó lấy các con trỏ đến các mô-đun kernel để sử dụng sau này (tại địa chỉ 0x63E2).

  • Tạo thiết bị và liên kết: Tạo một thiết bị với đường dẫn \device\czx9umpTReqbOOKF và một liên kết tượng trưng \??\fqg0Et4KlNt4s1JT (tại 0x2F45 và 0x2FDA).

    Creating device 0x2F45

  • Đăng ký hàm gọi lại: Đăng ký các hàm chính để xử lý các yêu cầu từ hệ thống (tại 0x3067).

4. Bảo vệ client độc hại

ABYSSWORKER có cơ chế bảo vệ các tiến trình độc hại (client) của nó, không cho phép các công cụ bảo mật can thiệp:

  • Lấy PID của client: Khi thiết bị driver được mở, nó lấy ID tiến trình (PID) của client từ luồng kernel hiện tại (tại 0x138B).

  • Loại bỏ handle: Nó tìm và xóa các handle (tay cầm) đến tiến trình client từ các tiến trình khác, bằng cách thử nghiệm các PID (tại 0x9EDB và 0xA691).

  • Thêm vào danh sách bảo vệ: Thêm PID của client vào danh sách các tiến trình được bảo vệ (tại 0x9F43).

  • Chặn truy cập: Sử dụng các hàm gọi lại (callbacks) để từ chối việc mở handle đến tiến trình hoặc luồng của client (tại 0xA2B0 và 0xA0A6).

5. Các lệnh điều khiển I/O (DeviceIoControl)

ABYSSWORKER sử dụng các mã điều khiển I/O để thực hiện nhiều hành động độc hại. Dưới đây là một số lệnh chính:

TênChức năng
Kích hoạt phần mềm độc hại0x222080Kích hoạt driver bằng mật khẩu cố định.
Sao chép tệp0x222184Sao chép tệp bằng cách sử dụng IRP thay vì API thông thường.
Xóa tệp0x222180Xóa tệp bằng cách đặt thuộc tính và sử dụng IRP.
Chấm dứt tiến trình0x222144Chấm dứt một tiến trình bằng PID.
Chấm dứt luồng0x222140Chấm dứt một luồng bằng TID.
Xóa hàm gọi lại của EDR0x222400Xóa các hàm gọi lại thông báo của EDR để làm mù chúng.
Thay thế hàm chính của driver0x222404Thay thế các hàm chính của driver mục tiêu bằng hàm giả để vô hiệu hóa chúng.
Tách thiết bị mini filter0x222440Tách các thiết bị mini filter (như FltMgr.sys) để vô hiệu hóa bảo vệ.
Khởi động lại máy0x222664Khởi động lại máy tính nạn nhân.

Kích hoạt driver (0x222080)

  • Driver yêu cầu một mật khẩu cố định (7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X) để kích hoạt.

  • Nếu mật khẩu đúng, một cờ toàn cục được đặt thành 1, cho phép các lệnh khác hoạt động (tại 0x184B).

Sao chép và xóa tệp

  • Thay vì dùng API thông thường, ABYSSWORKER tạo các gói yêu cầu I/O (IRP) để sao chép hoặc xóa tệp:

    • Sao chép tệp: Mở tệp nguồn và đích, đọc từ nguồn và ghi vào đích (tại 0x4BA8).

    • Xóa tệp: Đặt thuộc tính tệp thành bình thường và xóa bằng IRP (tại 0x4FB6).

Làm mù EDR

  • Xóa hàm gọi lại (0x222400): Xóa các hàm thông báo của EDR (như PsSetCreateProcessNotifyRoutine) để chúng không thể phát hiện hoạt động độc hại.

  • Thay thế hàm chính (0x222404): Thay thế các hàm chính của driver mục tiêu bằng hàm giả, khiến driver không hoạt động (tại 0x9434).

  • Tách mini filter (0x222440): Tách các thiết bị mini filter như FltMgr.sys để vô hiệu hóa bảo vệ (tại 0xE1D8).

Chấm dứt tiến trình và luồng

  • Chấm dứt tiến trình (0x222144): Dùng PID để chấm dứt tiến trình (tại 0x2081).

  • Chấm dứt luồng (0x222140): Dùng TID để chấm dứt luồng (tại 0x1F07).

  • Chấm dứt luồng hệ thống (0x222408): Tìm và chấm dứt các luồng hệ thống của mô-đun mục tiêu bằng cách thử nghiệm TID (tại 0xECE6).

Khởi động lại máy

  • Sử dụng hàm HalReturnToFirmware để khởi động lại máy tính nạn nhân (tại 0x2DC0).

6. Tải API (0x2220c0)

Set the global flag to 1 once the API is loaded 0x1c28

ABYSSWORKER cần tải các API kernel để thực hiện các hành động độc hại. Nó có hai chế độ:

  • Chế độ đầy đủ: Tải API bằng cách sử dụng cấu trúc ánh xạ (tên hàm và RVA) do người dùng cung cấp.

  • Chế độ một phần: Tự tìm kiếm một số API, nhưng không tải hết.

Ví dụ, nó tải 25 hàm kernel như PsTerminateProcess, NtfsFsdRead, và NtfsFsdShutdown để sử dụng trong các lệnh khác.

Ví dụ thực tế: ABYSSWORKER tấn công như thế nào?

Hãy tưởng tượng một công ty sử dụng EDR để bảo vệ hệ thống của mình. Tội phạm mạng triển khai ABYSSWORKER như sau:

  1. 1. Gửi email độc hại (Malicious Email)

    • Bước khởi đầu: Kẻ tấn công bắt đầu bằng cách gửi một email độc hại đến mục tiêu.

      • Email này thường chứa nội dung lừa đảo (phishing), chẳng hạn như một liên kết hoặc tệp đính kèm độc hại, nhằm dụ người dùng tương tác.

2. Triển khai Dropper

  • Hành động: Khi người dùng mở email và tương tác (ví dụ: nhấp vào liên kết hoặc mở tệp đính kèm), một dropper được tải xuống và thực thi trên máy nạn nhân.

    • Dropper là một loại phần mềm độc hại nhỏ gọn, có nhiệm vụ tải xuống và cài đặt các thành phần độc hại khác.

3. Thực thi Script

  • Hành động: Dropper sau đó thực thi một script (kịch bản) trên hệ thống.

    • Script này thường được viết bằng các ngôn ngữ như PowerShell, VBScript, hoặc JavaScript, và được sử dụng để thực hiện các bước tiếp theo trong chuỗi tấn công.

    • Script có thể tải xuống thêm mã độc, thiết lập kết nối với máy chủ điều khiển (C&C server), hoặc chuẩn bị môi trường cho các hành động tiếp theo.

4. Đăng ký dưới dạng Service (SYS)

  • Hành động: Script đăng ký phần mềm độc hại dưới dạng một dịch vụ (service) trên hệ thống với định dạng SYS.

    • Điều này cho phép phần mềm độc hại chạy với quyền hệ thống (system privileges), giúp nó duy trì sự hiện diện lâu dài trên máy nạn nhân và khó bị phát hiện hoặc xóa bỏ.

5. Can thiệp vào Core Isolation và Xóa bảo vệ tiến trình

  • Hành động: Phần mềm độc hại (được đăng ký dưới dạng service) thực hiện hai hành động quan trọng để vô hiệu hóa các biện pháp bảo vệ trên hệ thống:

    • Interrupts Core Isolation (Can thiệp vào Core Isolation): Core Isolation là một tính năng bảo mật trên Windows (như Memory Integrity) giúp ngăn chặn mã độc can thiệp vào các tiến trình hệ thống quan trọng. Phần mềm độc hại vô hiệu hóa tính năng này để có thể thực hiện các hành động độc hại mà không bị chặn.

    • Remove Process Protection (Xóa bảo vệ tiến trình): Phần mềm độc hại xóa các cơ chế bảo vệ tiến trình, chẳng hạn như chấm dứt các tiến trình của phần mềm diệt virus hoặc hệ thống EDR (Endpoint Detection and Response).

6. Kẻ tấn công chiếm quyền điều khiển từ xa

  • Hành động: Sau khi vô hiệu hóa các biện pháp bảo vệ, kẻ tấn công sử dụng một máy tính từ xa để chiếm quyền điều khiển hệ thống nạn nhân.

    • Điều này thường được thực hiện thông qua một kết nối mạng, chẳng hạn như Remote Desktop Protocol (RDP) hoặc một công cụ điều khiển từ xa khác mà phần mềm độc hại đã thiết lập

7. Dữ liệu được gửi đến máy chủ C&C

  • Hành động: Hệ thống nạn nhân thiết lập kết nối với máy chủ điều khiển và chỉ huy (C&C server) của kẻ tấn công.

    • Máy chủ C&C được sử dụng để gửi lệnh từ kẻ tấn công đến hệ thống nạn nhân và nhận dữ liệu bị đánh cắp từ hệ thống.

8. Trích xuất thông tin đăng nhập người dùng

  • Hành động: Phần mềm độc hại trích xuất thông tin đăng nhập của người dùng (user credentials) từ hệ thống nạn nhân.

    • Điều này có thể bao gồm mật khẩu, token, hoặc các thông tin xác thực khác được lưu trữ trên hệ thống (ví dụ: trong trình duyệt, tệp cấu hình, hoặc bộ nhớ).

    • Thông tin đăng nhập sau đó được gửi đến máy chủ C&C để kẻ tấn công sử dụng cho các mục đích khác, như truy cập vào các hệ thống khác hoặc bán dữ liệu trên dark web.

Kết luận

ABYSSWORKER là một ví dụ điển hình về sự tinh vi của tội phạm mạng ngày nay. Bằng cách sử dụng driver độc hại, chúng có thể vô hiệu hóa các hệ thống bảo vệ mạnh mẽ như EDR, mở đường cho các cuộc tấn công ransomware. Hiểu biết về cách hoạt động của ABYSSWORKER không chỉ giúp các chuyên gia an ninh mạng phát triển các biện pháp phòng thủ tốt hơn, mà còn là lời cảnh báo cho các tổ chức về tầm quan trọng của việc bảo vệ hệ thống một cách toàn diện.

Nếu bạn muốn tìm hiểu thêm, hãy thử phân tích các mẫu của ABYSSWORKER trên VirusTotal hoặc sử dụng ví dụ client để thử nghiệm. Hãy luôn cập nhật các biện pháp bảo mật để bảo vệ hệ thống của bạn khỏi những mối đe dọa như thế này!

IOCs

ValueTypeReferenceDate
6a2a0f9c56ee9bf7b62e1d4e1929d13046cd78a93d8c607fe4728cc5b1e8d050SHA256ABYSSWORKER reference sampleVT first seen: 2025-01-22
b7703a59c39a0d2f7ef6422945aaeaaf061431af0533557246397551b8eed505SHA256ABYSSWORKER sampleVT first seen: 2025-01-27

Tham khảo

Shedding light on the ABYSSWORKER driver

Medusa Ransomware Uses Malicious Driver to Disable Anti-Malware with Stolen Certificates

#threat-intelligence#ransomware

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.