Nội dung chính
AuKill là gì ?
AuKill là một công cụ độc hại được sử dụng bởi các tác nhân đe dọa trong phương pháp "Bring Your Own Vulnerable Driver" (BYOVD). Công cụ này có khả năng vô hiệu hóa các chương trình bảo mật được cài đặt trên thiết bị của nạn nhân bằng cách chạy với đặc quyền hệ thống và kiểm tra, vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống. Sau khi vô hiệu hóa các chương trình bảo mật, kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại, như các phiên bản ransomware Medusa Locker và LockBit.
"Bring Your Own Vulnerable Driver" (BYOVD) là gì ?
BYOVD là một kỹ thuật mà tin tặc thường dùng để tấn công vào hệ thống máy tính bằng cách lợi dụng lỗ hổng bảo mật trong những phần mềm được cài đặt trực tiếp vào máy nạn nhân. Tin tặc sẽ giả mạo gửi trình điều khiển (driver) hợp lệ nhưng có lỗ hổng bảo mật cho nạn nhân, thường là qua email độc hại hoặc các chiêu trò lừa đảo, để họ tự cài đặt.
Mục đích của tin tặc là lợi dụng lỗ hổng trong driver này để chiếm quyền kiểm soát hệ thống, từ đó vô hiệu hóa các phần mềm bảo mật và bí mật cài đặt các mã độc hại như ransomware lên máy tính của nạn nhân.
Cách thức hoạt động
Các trình điều khiển độc hại thường có khả năng chạy với đặc quyền hệ thống, được gọi là procexp.sys, và được phân phối cùng với trình điều khiển hợp pháp của Process Explorer v16.32 của Microsoft, một chương trình quản lý và thu thập dữ liệu về các tiến trình Windows đang hoạt động.
Sau khi tệp DLL độc hại được thực thi, nó sẽ kiểm tra xem có đang hoạt động với đặc quyền hệ thống hay không. Nếu có, tệp độc hại này sẽ bắt đầu kiểm tra và vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống.
Sau khi vô hiệu hóa các chương trình bảo mật, kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại. Theo báo cáo từ Sophos X-Ops, tin tặc đôi khi triển khai cả Medusa Locker và LockBit - hai phiên bản ransomware mạnh mẽ và phổ biến hiện nay.
Tổng kết
Mặc dù công cụ AuKill vẫn khá mới và ít được biết đến, một trong những phiên bản của nó đã hoạt động từ tháng 11/2022. Các nhà nghiên cứu kết luận rằng phiên bản mới nhất được phát hiện vào giữa tháng 2/2023. Mã của AuKill tương tự như mã của công cụ mã nguồn mở Backstab, cũng có khả năng vô hiệu hóa các chương trình diệt virus. Các kẻ tấn công LockBit cũng đã từng triển khai Backstab trong quá khứ.
TH (phapluatxahoi.kinhtedothi.vn)
