ETW Bypassing: উইন্ডোজ ইভেন্ট লগ সিস্টেম বন্ধ করে সাইবার অপরাধীদের আত্মগোপন!

ETW বুঝতে হলে প্রথমে এর আর্কিটেকচার সম্পর্কে স্পষ্ট ধারণা থাকতে হবে। ETW মূলত তিনটি উপাদানে গঠিত: Provider, Consumer এবং Session। Provider হলো সেই উপাদান যা ইভেন্ট তৈরি করে, যেমন Microsoft-Windows-Kernel-Process। Consumer হলো সেই অ্যাপ্লিকেশন যা ইভেন্টগুলো গ্রহণ করে এবং বিশ্লেষণ করে, যেমন কোনো EDR সলিউশন। Session হলো একটি কেন্দ্রীয় বাফার যা Provider এবং Consumer এর মধ্যে সেতুবন্ধন তৈরি করে।

উইন্ডোজে হাজারো বিল্ট-ইন Provider রয়েছে, যা PowerShell স্ক্রিপ্ট ব্লক, AMSI স্ক্যানিং, ক্রিপ্টোগ্রাফিক অপারেশন, নেটওয়ার্ক কানেকশন, ফাইল অ্যাক্সেস ইত্যাদি ট্র্যাক করে। বিশেষভাবে নিরাপত্তা গবেষকদের কাছে গুরুত্বপূর্ণ Provider গুলো হলো Microsoft-Windows-DotNETRuntime, Microsoft-Antimalware-Scan-Interface, এবং Microsoft-Windows-Threat-Intelligence। .NET অ্যাসেম্বলি লোডিং বা Reflective DLL Injection এর মতো কৌশল ETW Provider এর মাধ্যমে শনাক্ত করা যায়, তাই আক্রমণকারীদের কাছে এই Provider গুলোকে নিষ্ক্রিয় করা একটি গুরুত্বপূর্ণ লক্ষ্য।

আধুনিক EDR পণ্যগুলো Kernel Driver এর পরিবর্তে অনেক সময় User Mode থেকে ETW সাবস্ক্রিপশন ব্যবহার করে টেলিমেট্রি সংগ্রহ করে। এর কারণ হলো Kernel Driver এর জন্য Microsoft এর কঠোর সাইনিং প্রক্রিয়া অনুসরণ করতে হয় এবং Patch Guard এর মতো নিরাপত্তা ব্যবস্থার সাথে সংঘর্ষ এড়াতে হয়। ফলে অনেক EDR Provider যেমন Microsoft-Windows-Threat-Intelligence থেকে ইভেন্ট সংগ্রহ করে যা PsSetCreateProcessNotifyRoutine এর মতো নিম্নস্তরের আচরণ প্রকাশ করে।

আক্রমণকারীর দৃষ্টিকোণ থেকে যদি ETW Pipeline ভেঙে দেওয়া যায়, তাহলে EDR কার্যত অন্ধ হয়ে যায়। এই কারণে ETW Bypassing শুধু Detection এড়ানোর জন্য নয়, বরং পরবর্তী আক্রমণের ধাপগুলো নির্ভয়ে চালিয়ে যাওয়ার জন্যও অপরিহার্য হয়ে ওঠে। Lateral Movement, Credential Dumping, Persistence স্থাপন—এই সব কাজ ETW নিষ্ক্রিয় থাকলে অনেক সহজ হয়ে যায়।

ETW Bypass করার একাধিক প্রযুক্তিগত পদ্ধতি রয়েছে। প্রথম এবং সবচেয়ে প্রচলিত পদ্ধতি হলো EtwEventWrite ফাংশন প্যাচিং। ntdll.dll এ EtwEventWrite ফাংশনের শুরুতে একটি RET ইনস্ট্রাকশন বসিয়ে দিলে ফাংশনটি তৎক্ষণাৎ ফিরে আসে এবং কোনো ইভেন্ট লেখা হয় না। এই কৌশলটি প্রসেস লেভেলে কাজ করে এবং একই প্রসেসের ভেতরে চলমান EDR এজেন্টদের কাছ থেকে পরবর্তী টেলিমেট্রি লুকিয়ে রাখে।

দ্বিতীয় কৌশল হলো EtwEventRegister কে প্যাচ করা। এই ফাংশন যখন কোনো Provider রেজিস্টার করতে আহ্বান করা হয়, তখন এর রিটার্ন ভ্যালু পরিবর্তন করে এমন একটি ফেইলিউর কোড দেওয়া হয় যাতে কোনো ইভেন্ট রেকর্ড না হয়। তৃতীয় পদ্ধতি হলো ETW Session সরাসরি বন্ধ করা। SeSecurityPrivilege থাকলে logman বা ETW API কল ব্যবহার করে কোনো সক্রিয় Session যেমন EventLog-Security বন্ধ করা যায়।

আরও উন্নত কৌশলে আক্রমণকারীরা GlobalProviderTraceLogging লিস্টে সরাসরি হস্তক্ষেপ করে কিংবা Provider এর Enable Bit মেমোরিতে শূন্য করে দেয়। এর ফলে নির্দিষ্ট Provider কে সম্পূর্ণ নিষ্ক্রিয় করা যায় কিন্তু অন্যান্য ETW কার্যকলাপ স্বাভাবিকভাবে চলতে থাকে, ফলে সন্দেহ কম হয়। এছাড়া .NET Core এর ক্ষেত্রে COMPlus_ETWEnabled এনভায়রনমেন্ট ভ্যারিয়েবল ০ করে দিলে .NET রানটাইম থেকে কোনো ETW ইভেন্ট প্রকাশিত হয় না, যা PowerShell পেইলোডের জন্য বিশেষভাবে কার্যকর।

ETW Bypassing এর বাস্তব ব্যবহার বিভিন্ন APT গ্রুপের অপারেশনে দেখা গেছে। উদাহরণস্বরূপ, একটি পরিচিত Red Team ফ্রেমওয়ার্ক Cobalt Strike এর Beacon Object File সিস্টেম ব্যবহার করে In-Memory ETW প্যাচ চালানো হয়। যখন একটি Beacon সেশন স্থাপন করা হয়, প্রথমেই EtwEventWrite এ একটি ছোট প্যাচ প্রয়োগ করা হয় যা পরবর্তী সমস্ত কার্যকলাপকে EDR এর দৃষ্টিসীমার বাইরে রাখে।

২০২১ সালে SolarWinds সরবরাহ চেইন আক্রমণে SUNBURST ম্যালওয়্যার পরিচিত ছিল তার অসাধারণ Stealth ক্ষমতার জন্য। গবেষকরা পরবর্তীতে আবিষ্কার করেন যে এই ম্যালওয়্যার একাধিক EDR এবং নিরাপত্তা পণ্য থেকে নিজেকে লুকাতে ETW ফিচারকে চালাক ভাবে ম্যানিপুলেট করেছিল। আরেকটি বিখ্যাত উদাহরণ হলো Lazarus গ্রুপের অপারেশন, যেখানে In-Memory .NET অ্যাসেম্বলি এক্সিকিউশনের আগে Microsoft-Windows-DotNETRuntime Provider কে Disable করে দেওয়া হতো যাতে কোনো ম্যানেজড কোড লোডিং সাইবার ডিফেন্ডারদের নজরে না আসে।

EDR বিক্রেতারা ETW Bypass এর বিরুদ্ধে নানা পাল্টা ব্যবস্থা গ্রহণ করছে। একটি গুরুত্বপূর্ণ পদক্ষেপ হলো ETW Provider এর অখণ্ডতা যাচাই করা। যদি কোনো Provider হঠাৎ নীরব হয়ে যায় বা প্যাচিং এর চিহ্ন দেখা যায়, EDR সেটিকে একটি সন্দেহজনক ঘটনা হিসেবে চিহ্নিত করে এবং সতর্কতা প্রকাশ করে। আরেকটি কৌশল হলো Microsoft-Windows-Threat-Intelligence Provider এর সাথে সংযোগ স্থাপন করা, যা সাধারণ ETW Provider এর চেয়ে আলাদা স্তরে কাজ করে এবং সরাসরি Kernel থেকে তথ্য পায়।

মাইক্রোসফট নিজেও Windows 10 এবং পরবর্তী সংস্করণগুলোতে Secure ETW ফিচার যোগ করেছে, যেখানে Provider এর কিছু সংবেদনশীল কনফিগারেশন Protected Process Light বা PPL দ্বারা সুরক্ষিত। এর ফলে সাধারণ User Mode কোড আর সরাসরি ETW Session কে Stop করতে পারে না। তবে আক্রমণকারীরা পাল্টা হিসেবে Kernel Exploit খুঁজে বের করে, BYOVD বা Bring Your Own Vulnerable Driver কৌশল ব্যবহার করে, কিংবা UEFI/Firmware লেভেল আক্রমণে চলে যায় যেখানে ETW এখনো পৌঁছাতে পারে না।

ETW Bypass শনাক্ত করা ডিফেন্ডারদের জন্য একটি জটিল চ্যালেঞ্জ। কারণ যদি Logging Mechanism নিজেই নিষ্ক্রিয় হয়ে যায়, তাহলে সেই নিষ্ক্রিয় হওয়ার ঘটনাটিও লগ হবে না। এই Catch-22 পরিস্থিতি মোকাবিলায় কিছু কৌশল রয়েছে। ETW Heartbeat মনিটরিং—অর্থাৎ নির্দিষ্ট সময় ব্যবধানে যদি কোনো Provider থেকে কোনো ইভেন্ট না আসে, সেটি অস্বাভাবিক হিসেবে চিহ্নিত করা।

Memory Integrity Check ব্যবহার করে EDR Periodic হাইজিন স্ক্যান চালাতে পারে যেখানে EtwEventWrite এর মতো গুরুত্বপূর্ণ ফাংশনের প্রথম কয়েকটি বাইট পরীক্ষা করা হয়। যদি প্রত্যাশিত মেশিন কোডের পরিবর্তে RET বা JMP দেখা যায়, তাহলে সেটি একটি প্যাচিং এর স্পষ্ট ইঙ্গিত। Behavioral Analytics ব্যবহার করে নিরাপত্তা দল বুঝতে পারে যে যদি কোনো প্রসেস হঠাৎ অস্বাভাবিকভাবে কম টেলিমেট্রি তৈরি করছে অথচ CPU বা মেমোরি ব্যবহার বাড়ছে, তাহলে কিছু সমস্যা আছে।

ETW Bypassing থেকে রক্ষা পেতে সম্পূর্ণ নির্ভরশীলতা ETW এর ওপর রাখা ঝুঁকিপূর্ণ। বহুস্তরীয় টেলিমেট্রি সংগ্রহ অপরিহার্য। Kernel Callback Routines যেমন PsSetCreateProcessNotifyRoutineEx, ObRegisterCallbacks ইত্যাদি ব্যবহার করে EDR ETW এর বাইরেও তথ্য সংগ্রহ করতে পারে।

Hypervisor-based Security প্রযুক্তি যেমন Virtualization-Based Security এবং Hypervisor-Enforced Code Integrity ব্যবহার করে গুরুত্বপূর্ণ মেমোরি অঞ্চলকে User Mode কোডের হস্তক্ষেপ থেকে রক্ষা করা যায়। Windows Defender Application Control বা WDAC ব্যবহার করে অননুমোদিত কোড এক্সিকিউশন আটকানো যায়, যা ETW Patching এর আগেই আক্রমণকে থামিয়ে দিতে পারে।

প্রতিষ্ঠানের নিরাপত্তা দলের উচিত SIEM সিস্টেমে ETW Anomaly Detection নিয়ম তৈরি করা। যদি কোনো এজেন্ট থেকে হঠাৎ Heartbeat বন্ধ হয়ে যায়, তা অবিলম্বে ইনসিডেন্ট হিসেবে প্রসেস করতে হবে। নিয়মিত Threat Hunting করতে হবে যেখানে বিশ্লেষকরা প্রক্রিয়াগতভাবে আক্রান্ত হতে পারে এমন ইন্ডিকেটর খুঁজবেন, যেমন ntdll.dll এর Memory Permission পরিবর্তন। কর্মীদের Endpoint Hardening এর মাধ্যমে Local Admin অধিকার কমাতে হবে কারণ অধিকাংশ ETW Bypass কৌশলের জন্য উচ্চ স্তরের অনুমতি প্রয়োজন।

ETW এবং ETW Bypassing এর মধ্যে যে কৌশলগত যুদ্ধ চলছে, তা আগামী বছরগুলোতে আরও জটিল হবে। মাইক্রোসফট ইতিমধ্যে Secure Kernel এবং Pluton Security Processor এর মতো প্রযুক্তি নিয়ে কাজ করছে যা Hardware লেভেলে টেলিমেট্রি অখণ্ডতা নিশ্চিত করবে। অন্যদিকে আক্রমণকারীরা Userland Hooking এর পাশাপাশি Direct Syscall, Indirect Syscall এবং Hardware Breakpoint ভিত্তিক ETW Evasion কৌশল গবেষণা করছে।

AI চালিত EDR এর উদয় Behavioral Detection কে আরও শক্তিশালী করছে, যেখানে শুধু একক ইভেন্ট নয়, বরং ইভেন্টের একটি বৃহত্তর প্যাটার্ন বিশ্লেষণ করা হয়। এর ফলে কোনো একটি Provider নিষ্ক্রিয় করেও আক্রমণকারীরা সম্পূর্ণভাবে আত্মগোপন করতে পারবে না। নিরাপত্তা গবেষকদের জন্য এটি একটি অবিরত শেখার ক্ষেত্র, যেখানে অপারেটিং সিস্টেমের অভ্যন্তরীণ জ্ঞান, রিভার্স ইঞ্জিনিয়ারিং দক্ষতা এবং সৃজনশীল চিন্তা—এই তিনটির সমন্বয় অপরিহার্য।