Khai thác SeBackupPrivilege: Con đường tắt để vượt qua mọi giám sát EDR

[WhiteHat Team]

Một kỹ thuật vừa được nhà nghiên cứu bảo mật Sud0Ru công bố đã khiến cộng đồng an ninh mạng lo ngại. Thay vì phải can thiệp trực tiếp vào tiến trình lsass.exe vốn luôn bị giám sát gắt gao, kẻ tấn công giờ đây có thể âm thầm rút trộm thông tin xác thực và bí mật Windows từ các registry hive nhạy cảm. Đáng chú ý, kỹ thuật này không tạo ra bản sao dữ liệu trên đĩa và có thể lọt qua hầu hết các giải pháp Endpoint Detection and Response (EDR) hiện nay.

​

Cách Windows bảo vệ bí mật​

Trên Windows, tiến trình Local Security Authority (LSA) đảm nhiệm việc lưu trữ và quản lý thông tin nhạy cảm. Các dữ liệu quan trọng nằm trong hai hive registry:

• SAM: chứa thông tin người dùng, nhóm và thông tin đăng nhập.
• SECURITY: lưu trữ các “LSA secrets” như khóa máy và thông tin miền đã cache.

Các hive này được bảo vệ nghiêm ngặt bởi DACL (Discretionary Access Control List) và dữ liệu bên trong đều được mã hóa. Muốn giải mã, kẻ tấn công còn phải có thêm dữ liệu từ hive SYSTEM.

Trong nhiều năm, các công cụ tấn công thường khai thác bằng cách đọc bộ nhớ lsass.exe hoặc sao lưu trực tiếp các hive này. Tuy nhiên, hầu hết hành vi như vậy đều dễ dàng bị EDR hoặc Windows Defender phát hiện.

Điểm yếu trong lớp phòng thủ​

Các giải pháp EDR hiện nay thường giám sát truy cập registry thông qua cơ chế kernel callbacks. Khi một tiến trình cố gắng mở các khóa nhạy cảm như HKLM\SAM hay HKLM\SECURITY, hệ thống sẽ lập tức ghi nhận và phát cảnh báo. Tuy nhiên, để cân bằng giữa khả năng phát hiện và hiệu năng vận hành, EDR thường chỉ tập trung theo dõi một số API thông dụng cùng các đường dẫn được coi là trọng yếu, thay vì giám sát toàn bộ. Chính sự lựa chọn có giới hạn này đã tạo ra khoảng trống mà kẻ tấn công có thể lợi dụng.

Thủ thuật hai mũi nhọn​

Theo phân tích từ Sud0Ru, kỹ thuật mới được triển khai theo hai bước liên hoàn.

Bước đầu tiên, kẻ tấn công có quyền local admin sẽ kích hoạt đặc quyền SeBackupPrivilege rồi gọi trực tiếp hàm gốc NtOpenKeyEx với cờ REG_OPTION_BACKUP_RESTORE. Cách làm này cho phép bỏ qua cơ chế kiểm tra DACL, từ đó truy cập và đọc dữ liệu trong SAM và SECURITY, ngay cả khi tiến trình không chạy dưới quyền SYSTEM.

Tiếp theo, thay vì sử dụng API phổ biến RegQueryValueExW vốn được EDR giám sát chặt, kẻ tấn công chuyển sang RegQueryMultipleValuesW. Đây là một hàm ít khi được dùng trong thực tế, nên chưa được nhiều giải pháp bảo mật đưa vào danh sách theo dõi. Nhờ vậy, việc trích xuất dữ liệu có thể diễn ra âm thầm mà không kích hoạt cảnh báo.

Toàn bộ chuỗi hoạt động này được thực hiện hoàn toàn trong bộ nhớ, không để lại dấu vết rõ ràng trên đĩa và cũng tránh chạm tới tiến trình LSASS, vốn luôn nằm trong tầm ngắm của các hệ thống phòng thủ.

Ý nghĩa với phòng thủ​

Dù phương pháp này yêu cầu điều kiện tiên quyết là tài khoản quản trị viên cục bộ, nó cho thấy ngay cả những hệ thống phòng thủ trưởng thành cũng có thể bị qua mặt nếu chỉ dựa vào danh sách API hoặc các hành vi phổ biến.

Để giảm thiểu rủi ro, các chuyên gia khuyến nghị tổ chức

• Rà soát và siết chặt quyền quản trị, hạn chế đặc quyền SeBackupPrivilege
• Giám sát nhật ký sự kiện 4672 và 4673 để phát hiện việc sử dụng đặc quyền nhạy cảm bất thường
• Bật LSA Protection và Credential Guard nhằm thu hẹp giá trị của dữ liệu nếu bị rò rỉ
• Yêu cầu EDR cập nhật cơ chế giám sát cho những API ít phổ biến như RegQueryMultipleValuesW
• Tăng cường quan sát bằng ETW Kernel-Registry để phát hiện truy vấn registry bất thường

Kết luận​

Kỹ thuật mà Sud0Ru phát hiện không phải một lỗ hổng zero-day, mà là cách tận dụng tính năng hợp pháp của hệ điều hành để “đi đường vòng”. Đây là lời nhắc nhở rằng phòng thủ không thể chỉ dựa vào một vài quy tắc giám sát quen thuộc. Muốn an toàn, tổ chức cần kết hợp kiểm soát đặc quyền, mở rộng phạm vi giám sát và triển khai nhiều lớp bảo vệ danh tính để giảm thiểu tác động ngay cả khi bí mật bị rút trộm.

Theo Cyber Security News​