EDR Evasion: সাইবার সিকিউরিটি সিস্টেমের নজরদারি এড়াতে ম্যালওয়্যারগুলোর কৌশল!

EDR কীভাবে evade করা হয় তা বোঝার আগে এর কাজের পদ্ধতি বোঝা জরুরি। আধুনিক EDR সমাধান বিভিন্ন detection স্তর ব্যবহার করে। User-mode hook প্রথম স্তর, যেখানে EDR agent গুরুত্বপূর্ণ Windows API যেমন NtCreateFile, NtAllocateVirtualMemory, NtCreateThreadEx এ inline hook স্থাপন করে। যখন কোনো process এই API কল করে, EDR সংশ্লিষ্ট কার্যকলাপ পর্যবেক্ষণ করতে পারে এবং সন্দেহজনক হলে block করতে পারে।

Kernel-level monitoring দ্বিতীয় গুরুত্বপূর্ণ স্তর। EDR সাধারণত একটি minifilter driver এবং kernel callback ব্যবহার করে process creation (PsSetCreateProcessNotifyRoutineEx), image load (PsSetLoadImageNotifyRoutine), thread creation এবং registry operation মনিটর করে। কিছু EDR সম্পূর্ণ kernel driver স্থাপন করে যা আরও গভীর visibility প্রদান করে।

Event Tracing for Windows বা ETW একটি শক্তিশালী Windows feature যা EDR ব্যাপকভাবে ব্যবহার করে। ETW provider যেমন Microsoft-Windows-Threat-Intelligence (TI) উচ্চ-বিশ্বস্ততার নিরাপত্তা ইভেন্ট প্রদান করে যেমন memory protection change, code injection attempt এবং বিভিন্ন syscall। AMSI বা Antimalware Scan Interface স্ক্রিপ্ট-ভিত্তিক ম্যালওয়্যার সনাক্তকরণে গুরুত্বপূর্ণ ভূমিকা পালন করে।

আধুনিক EDR এই সমস্ত telemetry source একত্রিত করে cloud-based analytics এবং machine learning এর মাধ্যমে behavioral pattern সনাক্ত করে। শুধু individual event নয়, event এর sequence এবং relationship analyze করে আক্রমণের পরিচয় নির্ণয় করা হয়।

User-mode hook bypass সবচেয়ে প্রচলিত EDR evasion কৌশল। যখন EDR Windows API তে inline hook স্থাপন করে, সাধারণত function এর প্রথম কয়েক byte পরিবর্তন করে jmp instruction দিয়ে যা EDR এর own code এ যায়। আক্রমণকারীরা বিভিন্ন উপায়ে এই hook এড়াতে পারেন।

Direct System Call বা Direct Syscall একটি জনপ্রিয় কৌশল। NTDLL.dll এর function এর পরিবর্তে আক্রমণকারী সরাসরি syscall instruction execute করে kernel function কল করেন। প্রতিটি Windows version এ syscall number পরিবর্তন হয় তাই কৌশলটি dynamic resolution প্রয়োজন। Hell's Gate, Halo's Gate এবং Tartarus' Gate এর মতো টেকনিক syscall number runtime এ resolve করার বিভিন্ন উপায় প্রদান করে।

Indirect Syscall আরও পরিশীলিত পদ্ধতি যেখানে syscall NTDLL এর বৈধ syscall instruction এর address থেকে execute করা হয়। এটি call stack analysis bypass করে যা কিছু advanced EDR ব্যবহার করে। SysWhispers2 এবং SysWhispers3 এর মতো টুল এই কৌশল automated করে।

API Unhooking আরেকটি পদ্ধতি যেখানে আক্রমণকারী EDR এর hook সরিয়ে clean DLL দিয়ে replace করেন। সাধারণত disk থেকে fresh NTDLL.dll load করে memory তে existing version এর সাথে replace করা হয়। PerunsFart এর মতো টুল এই প্রক্রিয়া সহজ করে। কিছু attacker আবার নিজস্ব NTDLL implementation ব্যবহার করেন যা সম্পূর্ণভাবে hooked version এড়িয়ে যায়।

Process injection হলো এক process থেকে অন্য process এ code চালানোর কৌশল, যা ম্যালওয়্যার persistence এবং detection evasion এর জন্য ব্যবহার করে। ক্লাসিক DLL injection এবং remote thread creation এখন প্রায় সমস্ত EDR দ্বারা সহজেই detect হয়। তাই আক্রমণকারীরা আরও পরিশীলিত technique বিকশিত করেছেন।

Process Hollowing একটি জনপ্রিয় কৌশল যেখানে একটি legitimate process suspended state এ create করা হয়, এর memory unmap করে malicious code লেখা হয় এবং execution resume করা হয়। যদিও পুরাতন, এই technique এর variant এখনও কার্যকর হতে পারে যদি carefully implement করা হয়।

Process Doppelgänging এবং Process Herpaderping NTFS transaction এবং file system manipulation ব্যবহার করে এমনভাবে process তৈরি করে যে EDR এর কাছে এটি বৈধ executable মনে হয়। এই কৌশলগুলো 2017-2018 সালে আবিষ্কৃত হয়েছিল এবং অনেক EDR এখন এদের detect করতে পারে, তবে variant এখনও কার্যকর।

Module Stomping বা DLL Hollowing এ একটি legitimate DLL memory তে load করা হয় এবং তারপর এর content malicious shellcode দিয়ে overwrite করা হয়। যেহেতু memory region একটি legitimate signed DLL এর সাথে যুক্ত, EDR এর scrutiny কম থাকে। নতুন কৌশল যেমন Phantom DLL Hollowing এবং Transactional Hollowing আরও subtle approach প্রদান করে।

Thread Hijacking এ existing thread suspend করে register পরিবর্তন করে malicious code execute করা হয়, এরপর thread resume করা হয়। এটি new thread creation এড়িয়ে চলে যা সাধারণত monitored হয়। SetThreadContext এর পরিবর্তে নতুন কৌশল যেমন QueueUserAPC, RtlCreateUserThread এর variant ব্যবহার করা হয়।

আধুনিক ম্যালওয়্যার ক্রমশ disk এ কম footprint রাখার চেষ্টা করছে। Fileless malware সম্পূর্ণরূপে memory তে operate করে এবং persistence এর জন্য registry, WMI subscription বা scheduled task ব্যবহার করে। PowerShell-based attack এক সময় জনপ্রিয় ছিল, কিন্তু AMSI এবং PowerShell logging উন্নতির পর এদের efficacy কমেছে।

Reflective DLL loading একটি কৌশল যেখানে DLL সরাসরি memory তে load হয় file system এ লেখা ছাড়াই। Stephen Fewer এর মূল implementation এখন বহু variant এ বিদ্যমান। Donut এর মতো framework arbitrary PE file কে position-independent shellcode এ convert করতে পারে যা memory তে execute হয়।

Living-off-the-Land Binaries বা LOLBins এর ব্যবহার আক্রমণকারীদের system এর built-in tool ব্যবহার করতে দেয় যা সাধারণত whitelist এ থাকে। rundll32.exe, regsvr32.exe, mshta.exe, certutil.exe এবং অন্যান্য বহু binary বিভিন্ন আক্রমণে অপব্যবহার হয়। LOLBAS project এই binary এবং তাদের অপব্যবহারের catalog বজায় রাখে।

BYOVD বা Bring Your Own Vulnerable Driver একটি ক্রমবর্ধমান কৌশল যেখানে আক্রমণকারীরা একটি legitimate কিন্তু vulnerable kernel driver load করেন এবং তার দুর্বলতার সুযোগ নিয়ে EDR কে bypass বা disable করেন। RobinHood ransomware Gigabyte এর driver অপব্যবহার করেছিল, এবং সাম্প্রতিক সময়ে অনেক APT গ্রুপ এই কৌশল adopt করেছে। Microsoft এর Vulnerable Driver Blocklist এর বিরুদ্ধে কিছুটা সুরক্ষা প্রদান করে।

Code obfuscation EDR এর static analysis bypass করার একটি প্রাথমিক কৌশল। সরল string obfuscation থেকে শুরু করে complex polymorphic engine - বিভিন্ন স্তরের obfuscation ব্যবহার করা হয়। C++ এ template metaprogramming, Rust এ macro, এবং বিভিন্ন language এর compile-time obfuscation library ম্যালওয়্যার author দের সাহায্য করে।

Payload encryption এবং staging সাধারণ কৌশল। Initial payload ছোট এবং সরল থাকে যা শুধু C2 থেকে actual payload download এবং decrypt করে। AES, ChaCha20 এবং custom encryption algorithm ব্যবহার করা হয়। কিছু আধুনিক loader payload কে multiple stage এ split করে এবং প্রতিটি stage এর জন্য আলাদা encryption key C2 থেকে retrieve করে।

Anti-sandbox এবং anti-VM technique ম্যালওয়্যার বিশ্লেষণ পরিবেশ সনাক্ত করার চেষ্টা করে। বিভিন্ন artifact যেমন VirtualBox এর registry key, VMware tool process, ছোট memory, কম CPU core, recent file এর অভাব ইত্যাদি পরীক্ষা করে। sandbox এ malicious behavior দেখানো হয় না, তাই automated analysis evade হয়। Time-based check এবং user interaction requirement আরও সাধারণ কৌশল।

EDR-specific detection এবং disabling কিছু advanced ম্যালওয়্যার করে। বিভিন্ন EDR এর process name, service name, এবং driver name এর জন্য check করা হয়। যদি specific EDR detect হয়, ম্যালওয়্যার সেই EDR এর জন্য specifically designed bypass technique ব্যবহার করে। Some sophisticated tool এমনকি EDR এর callback রেজিস্ট্রেশন সরিয়ে dেয় বা ETW provider disable করে দেয়।

Professional red team operation এ EDR evasion একটি প্রয়োজনীয় দক্ষতা। Cobalt Strike, Brute Ratel C4, Sliver এবং অন্যান্য Command and Control framework বিভিন্ন built-in evasion capability প্রদান করে। Beacon Object File বা BOF সংক্ষিপ্ত, ফোকাসড execution এর জন্য জনপ্রিyo যা minimal footprint রাখে।

Custom tooling বিকাশ অনেক red team এর কাছে অপরিহার্য কারণ public tool এর signature ব্যাপকভাবে পরিচিত। C, C++, Rust, Nim এবং Go এ লিখিত custom loader, dropper এবং payload commercial tool এর তুলনায় much harder to detect হতে পারে। Maldev Academy, Sektor7 এবং অন্যান্য specialized training program এই দক্ষতা গড়ে তোলে।

OPSEC বা Operational Security একটি গুরুত্বপূর্ণ বিবেচনা। শুধু malware এর detection বাইপাস করা নয়, পুরো operation এর footprint কমাতে হয়। Network traffic এর timing এবং volume, domain fronting, sleep obfuscation, এবং বিভিন্ন এর জন্য careful planning প্রয়োজন। Process tree manipulation এবং parent PID spoofing detection আরও কঠিন করে তোলে।

নৈতিকতার দৃষ্টিকোণ থেকে, এই কৌশলগুলো শুধুমাত্র authorized penetration test বা red team exercise এ ব্যবহার করা উচিত। স্পষ্ট scope, written authorization, এবং rules of engagement অপরিহার্য। Defensive research এবং tool development এই knowledge ব্যবহার করে EDR এর efficacy উন্নত করতে পারে।

Defenders দের জন্য EDR evasion এর বিরুদ্ধে strategy multi-layered হওয়া উচিত। প্রথমত, একাধিক detection source এর উপর নির্ভর করুন। শুধুমাত্র EDR এর উপর নির্ভর না করে Sysmon, Windows Event log, network monitoring (NDR), এবং deception technology একত্রিত করুন। যদি একটি স্তর evade হয়, অন্য স্তর hopefully সনাক্ত করবে।

Kernel-level protection উন্নত করুন। Microsoft এর Hypervisor-protected Code Integrity বা HVCI সক্ষম করুন যা unauthorized kernel code লোড করা rodzi করে। Vulnerable Driver Blocklist regular update করুন। PPL বা Protected Process Light security tool কে tampering থেকে রক্ষা করতে সাহায্য করে।

Application control এবং allowlisting শক্তিশালী প্রতিরক্ষা প্রদান করে। Microsoft Defender Application Control বা WDAC, AppLocker, এবং অন্যান্য সমাধান unauthorized binary execution রোধ করে। যদিও বাস্তবায়ন কঠিন, এটি বহু attack vector নষ্ট করে দেয়। LOLBin এর জন্য specific restriction যেমন PowerShell Constrained Language Mode সাহায্য করে।

Threat hunting proactive defense এর অপরিহার্য উপাদান। MITRE ATT&CK এর evasion technique catalog (TA0005) ভিত্তিক hunting hypothesis তৈরি করুন। অস্বাভাবিক process tree, unusual parent-child relationship, indirect syscall এর সূচক এবং সন্দেহজনক memory operation খুঁজুন। Regular red team exercise এবং purple team collaboration detection capability উন্নত করতে সাহায্য করে।

Defense in depth এর নীতি অনুসরণ করুন। Strong patch management, principle of least privilege, network segmentation, MFA, এবং security awareness training - সব মিলিয়ে একটি resilient security posture তৈরি করে। যদি একটি কৌশল EDR evade করে, অন্যান্য control আক্রমণকে contain বা slow করতে পারে। Backup, immutable storage এবং disaster recovery planning ransomware এর মতো catastrophic outcome এর বিরুদ্ধে last line of defense।