ผู้เชี่ยวชาญเผยวิธีการหลบเลี่ยงการตรวจจับจากโซลูชัน Security ที่ใช้ Event Tracing for Windows

ผู้เชี่ยวชาญจาก Binarly ได้เผยถึงวิธีการใหม่ที่งาน Black Hat Europe โดยคนร้ายอาจใช้หลบเลี่ยงการตรวจจับจากโซลูชันที่พึ่งพากลไกการเก็บ Log ของ Windows OS หรือ Event Tracing for Windows นับได้ว่าความผิดพลาดนี้เกิดขึ้นในระดับสถาปัตยกรรมและกระทบกับโซลูชันต่างๆเช่น EDR

Event Tracing for Windows (ETW) เป็นกระบวนการเก็บ Log อีเว้นต์ที่เกิดขึ้นทุกวินาทีในระบบปฏิบัติการ Windows สำหรับการใช้เพื่อแก้ปัญหาต่างๆ อีเว้นต์เหล่านี้เกี่ยวข้องกับแอปพลิเคชันระดับ User และ Kernel Driver โดยอีเว้นต์กว่า 50,000 รูปแบบนี้ครอบคลุมเหตุการต์ต่างๆของ System Service, เครื่องมือด้านความมั่นคงปลอดภัย, แอปพลิเคชันทั่วไป, DLLs, Driver และ OS Kernel ด้วยเหตุนี้เองเครื่องมือที่ใช้เพื่อตรวจจับมัลแวร์อย่าง EDR จึงใช้การวิเคราะห์ข้อมูลจาก ETW เพื่อตรวจจับมัลแวร์

ในมุมของคนร้ายรายใหญ่มักทราบเรื่องนี้และมีความพยายามปิด ETW เพื่อหลบเลี่ยงการโจมตีอยู่แล้ว กลับกันนักวิจัยต่างๆก็เริ่มเพ่งเล็งถึง ETW ซึ่งในปี 2021 ก็ได้ค้นพบช่องโหว่กว่า 12 รายการและเทคนิคการโจมตีอีกจำนวนมาก และในงาน Black Hat ผู้เชี่ยวชาญจาก Binarly ได้สาธิต 2 วิธีการใหม่ที่สามารถหลบเลี่ยงการตรวจจับของ Process Monitor และ Windows Defender ได้

แม้ผู้เชี่ยวชาญจะมีการทดสอบกับโซลูชันป้องกันมัลแวร์ในเชิงการค้าด้วย แต่สาเหตุที่เลือกพูดถึง Process Monitor และ Windows Defender ก็เพราะ 2 ตัวนี้สามารถเป็นตัวแทนของโซลูชันที่พึ่งพา ETW และยังใช้ได้ฟรี ประกอบกับไม่ได้อยากว่าใคร เพียงแต่อยากสร้างให้เกิดความตระหนักว่ามีปัญหาเกิดขึ้นในระดับสถาปัตยกรรมเช่นนี้ แต่ข่าวร้ายคือผู้เชี่ยวชาญมองว่ามีโอกาสน้อยมากที่ Microsoft จะแก้ไขปัญหาระดับโครงสร้างนี้เพราะเป็นเรื่องยากมาก มีการใช้มายาวนานแล้วย้อนกลับไปตั้งแต่ Windows XP และยังไม่เข้าข่ายช่องโหว่ที่เกิดขึ้นจาก Microsoft

สำหรับการโจมตีที่เกิดขึ้นกับ Process Monitor ซึ่งมักถูกใช้เพื่อวิเคราะห์มัลแวร์ ไอเดียคือแอปพลิเคชันอันตรายที่มีสิทธิ์ระดับแอดมินสามารถสั่งหยุด ETW Session (Event ที่ถูกบันทึก) ที่เกี่ยวข้องกับ Process Monitor พร้อมกับสร้าง Event ปลอมขึ้นมา หรือกล่าวคือจะไม่สามารถรับรู้ข้อมูล Telemetry จริงได้ และยังไม่สามารถหยุดยั้งได้ด้วยการรีสตาร์ท Process Monitor

ในกรณีของ Windows Defender ผู้เชี่ยวชาญสามารถใช้ Kernel Driver อันตรายที่เข้าไปแก้ไข Kernel Memory หรือ Field หนึ่งใน Kernel Structure ที่เกี่ยวข้องกับ ETW Session ของ Windows Defender ได้ ปัจจุบันยังไม่พบหลักฐานการโจมตีจริงแต่แม้จะมีการโจมตีผู้เชี่ยวชาญก็ชี้ว่าเป็นเรื่องยากมากที่จะรู้ในเมื่อโซลูชันต่างๆ เสมือนถูกปิดบังการมองเห็นเอาไว้

ท่านใดสนใจเพิ่มเติมศึกษาได้ที่บล็อกของนักวิจัย ซึ่งมีเพียงการแจกเครื่องมือช่วยค้นหาและป้องกันการโจมตี ETW เท่านั้น แต่ไม่ได้เปิดเผยซอร์สโค้ดเพื่อป้องกันผู้ไม่หวังดีนำไปใช้ ซึ่งอาจกระทบกับสังคมในวงกว้างและอันตรายมาก https://www.binarly.io/posts/Design_issues_of_modern_EDR%E2%80%99s_bypassing_ETW-based_solutions/index.html

ที่มา : https://www.securityweek.com/new-etw-attacks-can-allow-hackers-blind-security-products