邪恶的XDR：研究人员将Palo Alto Networks软件变成完美的恶意软件

事实证明，强大的安全解决方案可以兼作更强大的恶意软件，能够授予对目标计算机的全面访问权限。

对 Palo Alto Networks 的扩展检测和响应软件 (XDR) 的创造性利用可能会让攻击者像恶意多功能工具一样操纵它。

在本周举行的 Black Hat Asia 简报（https://www.blackhat.com/asia-24/briefings/schedule/index.html#the-dark-side-of-edr-repurpose-edr-as-an-offensive-tool-37846）中，SafeBreach 的安全研究员 Shmuel Cohen 描述了他如何对公司标志性的 Cortex 产品进行逆向工程和破解，同时将其武器化以部署反向 shell 和勒索软件。

此后，Palo Alto修复了与他的攻击相关的所有弱点（除了其中一个）。目前尚不清楚其他类似的 XDR 解决方案是否容易受到类似的攻击。

网络安全中的魔鬼交易

在使用某些影响深远的安全工具时，不可避免地存在着魔鬼交易。为了让这些平台完成其工作，必须授予它们高度特权的全权委托访问系统中的每个角落。

例如，为了跨 IT 生态系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，并访问非常敏感的信息。而且，启动时，它不能轻易删除。正是这些程序所发挥的巨大力量激发了 Cohen 的一个扭曲的想法。

“我心想：是否有可能将 EDR 解决方案本身变成恶意软件？” Cohen 解释道：“我会利用 XDR 拥有的所有这些东西来对付用户。”

在选择了一个实验室主题——大脑皮层——之后，他开始对其各个组件进行逆向工程，试图弄清楚它如何定义什么是恶意的，什么是非恶意的。

当他发现该程序比大多数程序更依赖的一系列纯文本文件时，他的灵光一现。

如何邪恶的利用XDR

“但这些规则就在我的电脑里。”Cohen 想。“如果我手动删除它们会发生什么？”

Palo Alto早就想到了这一点。防篡改机制阻止任何用户接触这些珍贵的 Lua 文件——但该机制有一个致命弱点。它的工作原理不是通过名称保护每个单独的 Lua 文件，而是通过封装所有文件的文件夹来保护。那么，为了访问他想要的文件，如果他可以重新定向用于访问它们的路径并完全绕过该机制，那么他就不必撤消防篡改机制。

一个简单的快捷方式可能还不够，所以他使用了硬链接：计算机将文件名与硬盘驱动器上存储的实际数据连接起来的方式。这使他能够将自己的新文件指向驱动器上与 Lua 文件相同的位置。

“程序并不知道该文件与原始 Lua 文件指向硬盘中的同一位置，这使我能够编辑原始内容文件。”他解释道。“所以我创建了一个指向文件的硬链接，编辑并删除了一些规则。当我删除它们时，我看到了这一点 - 并做了另一件导致应用程序加载新规则的小事情 - 我可以加载一个易受攻击的驱动程序。然后从那里，整台电脑都是我的了。”

在完全控制概念验证攻击后，Cohen 回忆道：“我首先做的是更改 XDR 上的保护密码，使其无法被删除，我还阻止了与其服务器的任何通信。”

同时，“一切似乎都在正常工作。我可以向用户隐藏恶意活动。即使对于本应阻止的操作，XDR 也不会提供通知。端点用户将看到指示一切的绿色标记没关系，但在下面我正在运行我的恶意软件。”

他决定运行的恶意软件首先是一个反向 shell，可以完全控制目标机器。然后他就在该程序的眼皮子底下成功部署了勒索软件。

Palo Alto 未能解决的问题

Palo Alto Networks 接受了Cohen 的研究，与他密切合作以了解漏洞并开发修复程序。

他的攻击链中有一个漏洞，他们选择保持原样：Cortex 的 Lua 文件完全以明文形式存储，没有任何加密，尽管它们具有高度敏感的性质。

这似乎令人担忧，但现实是加密对攻击者没有多大威慑力，因此在讨论此事后，他和安全公司一致认为他们不需要改变这一点。正如他指出的那样，“XDR 最终需要了解要做什么。因此，即使它是加密的，在操作过程中的某个时刻，它也需要解密这些文件才能读取它们。因此攻击者可以捕获文件的内容，对于我来说，要阅读这些文件就又需要迈出一步，但我仍然可以阅读它们。”

他还表示，其他 XDR 平台也可能容易受到同类攻击。

“其他 XDR 可能会以不同的方式实现这一点。”他说。“也许这些文件会被加密。但无论他们做什么，我总能绕过它。”

参考链接：

https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware