George Karantzas 比雷埃夫斯大学信息工程系,希腊
Constantinos patsakis希腊雅典娜研究中心信息管理系统研究学所
写在前面:本文发表于2022年1月11日。是来自希腊的两位专家所做的产品安全测试。挑选了现在所有最主流的端点安全产品,评测他们对四类攻击的反应。原文57页,详细介绍了攻击过程,为简要起见,省略了很多截图,有兴趣的同学可以查阅原文。本文涉及到很多具体的攻击技术,如有不准确的地方,希望读者及时指出,深表感谢。
原文网盘:https://pan.baidu.com/s/1fgr8D6pgcMGRgzNvmEePSA 提取码: ufks
摘要
APT攻击是蓝队面临的严峻挑战,因为攻击者长时间使用各种攻击方式,并阻碍事件关联和检测。本次工作中,我们利用各种不同的攻击场景评估EDR和其他端点安全方案在APT检测及阻止方面的效率。结果表明,仍有很大的改进空间,因为目前最先进的端点安全系统对本次测试中的大量攻击,无法阻止和记录日志。此外,我们讨论篡改EDR遥测提供商的方法,允许对手执行更隐秘的攻击。
1 介绍
网络攻击在复杂性和规模方面持续发展,世界经济论坛认为在下一个十年,将是全球贸易的第二大最有威胁风险。由此产生的地下经济,已经变得和国家的经济规模相当。相比大多数“打一枪换一个地方”的试探性网络攻击,高级持续性威胁,以APT缩写而广为人知。在大多数网络攻击中,威胁攻击者尝试使用单一攻击漏洞或机制,尽可能入侵更多的主机,尽快获取存储的信息和资源。然而APT攻击,威胁攻击者倾向于保持低调,通过各种攻击方式,使用更多复杂入侵方法,延长控制入侵主机的时间,实际上,就像很多类似事件显露的那样,这个控制可能跨越好几年。
由于他们的特点和影响,这些攻击已经得到很多研究关注,因为多变的攻击方式对传统的安全机制带来很多问题。例如,由于APT隐秘的特性,绕过了防病毒软件,因此,需要更多先进的方法及时检测他们。端点保护平台(EPP)的目标就是阻止和缓解恶意软件的安全威胁。更进一步,端点检测和响应(EDR)系统对组织提供更全面的方法保证组织的安全,除了特征值之外,EDR关联多个主机的信息和事件。来自端点可能被雷达忽略的单一事件,被收集、处理和关联,帮助蓝队深入洞察组织边界暴露的威胁。
尽管持续研究以及通过EPP和EDR部署了先进的安全机制,最近的事件表明,在这样的攻击面前,我们还远远达不到安全。既然APT攻击不是那么常见,也不是所有细节都可以对公共分享,我们认为针对这种攻击,评估安全机制的准备情况很有必要,特别是EDR,也包括一些EPP。最后,我们选择在可控的环境中,模拟APT攻击,使用一组符合这种攻击模式的脚本,我们使用鱼叉钓鱼和恶意软件来入侵一个组织,检查攻陷标志和EDR的响应。总共准备了四个使用场景,足够多样性和指示性来说明好几个边界安全机制的弱点,主要和EDR相关。
综上所述,我们工作的贡献有两方面。首先我们说明了尽管最新的EDR产品,在静态和动态分析、还有多种日志收集机制上的进步,攻击者仍然有很多方法发动一次成功的攻击,而不会引起怀疑。就像将要讨论的,一些EDR也许记录攻击的片段,但不意味这些日志会触发报警。而且,即使触发报警,也必须从安全运行中心(SOC)的角度考虑。实际上SOC收到多个报警,每个有着不同的严重级别,根据严重性被调查和排序,特别是当SOC中的报警数量高的时候,低严重性的警报可能会被雷达忽略,无法进行调查。此外我们还将讨论如何篡改EDR遥测提供商,允许攻击者隐藏攻击和痕迹。据我们所知,在科学文献中,还没有对真实世界的EDR和EPP产品功效进行实证评估。也没有以系统的方式,按照统一方法指出他们的潜在问题。除了科学文献,我们认为最接近的工作是MITRE Engenuity;然而,我们的工作从攻击者视角,提供了每一步的技术细节。此外,我们与已有的、使用和修改现成工具测试APT功能的报告不同。因此,这项工作是第一次进行这样的评估。但无论如何这项工作不应作为任何特定EDR方案的安全投资指南。如同稍后讨论的那样,这项工作的成果试图指出特定的具有代表性的攻击方式,但无法掌握EDR可以缓解的所有可能攻击整体情况。事实上,定制EDR规则可能会显著改变他们的作用。然而,这取决于蓝队处理这些系统的经验。
本工作的其他部分如下,在下一节中,我们将概述EDR和APT攻击的相关工作,第三节我们介绍实验设置和我们四种攻击方式的技术细节。第四节,我们评测22种最新EDR产品,评估他们检测和报告我们四种攻击的有效性。接下来在第五部分,我们展示了对EDR遥测提供商的篡改攻击和他们的影响。最后,文章总结了我们的工作,讨论未来工作的想法。
2 相关工作
2.1 端点检测和响应系统
端点检测和响应(EDR),也称之为端点威胁检测和响应(ETDR),2013年由A. Chuvakin提出。顾名思义,这是一个不覆盖网络的端点安全机制。EDR从端点收集数据,并发送到中心数据库存储和处理。在那里,实时关联收集的事件、二进制等,检测和分析监控主机上的可疑行为。因此,EDR推动了SOC的功能,因为他们能发现紧急网络威胁,并向用户和应急响应团队报警。
EDR特别依赖规则,因此机器学习或者AI逐渐找到他们的方法,在系统中推动发现新的特征值和关联。EDR扩展了防病毒功能,因为一旦检测到异常行为,EDR会触发报警。由于并不只依靠特征值,所以EDR也能够检测未知威胁,并在产生破坏之前阻止他们。虽然根据行为特征检测恶意行为听起来非常理想,但也意味着许多误报;正常的用户行为被认为是恶意,因为EDR把准确性放在首位。因此,SOC必须处理海量的噪音,因为收到的许多报警都是错误的。这也是最近Hassan等人最近引入战术出处图(Tactical Provenance Graphs,TPG)的原因。他们对EDR威胁报警之间的因果依赖关系进行推理,改进了多级攻击可视化。此外,他们的系统,RapSheet,具有完全不同的打分系统,显著减少误报率,最后,对特定威胁,EDR能执行修复或删除任务。
尽管EDR在安全方面的显著提升,但组织的整体安全高度依赖于人力因素。蓝队针对攻击的预期结果,在事件响应中充分训练的团队和仅仅对检测到的特定威胁进行响应及非常依赖单一安全工具输出的团队之间差别很大。两个团队都希望被EDR的遥测信息触发,然后调查。既然蓝队的经验和能力依赖超出我们工作范围的多个因素,在本研究中,我们主要关注EDR的遥测技术,他们标记事件的意义,以及他们是否阻止了一些行为。
然而,我们强调不是所有的EDR允许同样数量的定制化,也不允许实施同样的策略。此外,蓝队无法拥有所有EDR产品的经验,正确的配置他们,因为由于对平台熟悉程度、营销甚至客户策略,每个团队都只对部分方案非常专业。而且,不是所有蓝队面对同样的威胁,这可能会显著地影响蓝队在安装里面包含的规则优先级,而不顾客户的需求。上述构成了多个因素,本文无法完全覆盖。相反,我们应该期望,当选择所有可能的安全措施时 大多数EDR基线安全应或多或少相同。此外,希望即使EDR无法阻止一个攻击,至少可以记录这个动作,这样可以过后处理。然而,我们的实验表明,情况常常并非如此。
2.2 APT
APT被用来描述一个攻击,威胁攻击者对目标设施,建立了隐秘、长期的访问。通常的目标是偷取数据,或者必要时破坏服务。这些攻击和典型的“打一枪就跑“方式不同,他们也许会花费几个月到几年。攻击由技术高超的团队发动,或者是某个国家,或者是国家资助。
就像陈等人指出的,APT攻击包含六个阶段:1侦察和武器化;2投送工具;3初始入侵;4远程命令和控制;5横向移动;6数据偷取。作为这个模型的补充,其他的工作包括使用攻击树表示APT,并行采取其他方法,获得目标系统的落脚点。因此除了异常行为检查,常常使用信息流、以及异常检测、沙盒、特征匹配和图分析来检测APT。后者表明EDR可以作为抵御APT的有效方式。
在许多这样的攻击中,攻击者使用无文件攻击,一种特殊类型的恶意软件,因为在内存中运行,在目标系统上不留下任何恶意软件痕迹。这背后的核心理念是受害者被引诱打开良性的二进制软件,例如使用社交工程,这个二进制软件用来执行一组恶意任务。事实上,在Windows上预安装了很多二进制软件和脚本,或由操作系统下载,具有数字签名,或者通过了操作系统的白名单,可以执行一系列有漏洞的功能。由于得到了微软的数字签名,用户账户控制(user account control ,UAC)允许他们执行很多任务,而不会对用户报警。这些二进制和脚本常被称为“本地生存“二进制和脚本,(Living off the land binaries and scripts,LOLBAS/LOLBINS)。
2.3 网络杀伤链
网络杀伤链是一个允许安全分析人员解构网络攻击的模型。尽管它的复杂性,形成相互不排他状态。事实上每个阶段彼此之间隔开,允许你单独分析攻击的每个阶段,生成缓解措施和检测规则,能加强本问题或类似问题下攻击的防御机制。此外,蓝队必须解决一些更小的问题,一次一个,比面对一个大问题更有效率地使用资源。在网络杀伤链模型中,我们认为攻击者通过一系列有序步骤入侵网络,攻击的任何一步被阻断,攻击就难以成功。因此,我们上面提到的一小步对于抵御攻击至关重要。越早阻止,影响越小。而且这个模型非常灵活,仍然不断更新,适应更有针对性的用户情况,例如内部网络杀伤链处理内部恶意攻击者的问题,如不满意或不忠诚的员工。
MITRE的 ATT&CK是一个知识库和模型,尝试描述攻击者在整个攻击生命周期,从侦察到利用,到持续驻留和影响。最后,MITRE ATT&CK提供整体的方法,对攻击者的手法、技术和步骤分类,从底层操作系统和基础设施中抽象出来。基于此,使用MITRE ATT&CK,你能模拟攻击场景或评估使用防御机制的效率。最近,Pols推出统一杀伤链,扩展和结合了网络杀伤链和MITRE ATT&CK。统一杀伤链解决了上述方法没有覆盖的问题,对组织边界之外的对手行为、用户角色做了建模。
3 实验环境
本部分详细介绍EDR和EPP所做系列实验的准备工作,因为我们的目标是生成准确和可重复结果。所以我们在需要时提供必要的代码。为此,我们专门设计和运行实验回答下列研究问题:
研究问题1:最新的端点安全系统能检测常见的APT攻击方法吗?
研究问题2:最新端点安全系统有哪些盲点?
研究问题3:EDR和EPP报告了什么信息?哪些是重点?
研究问题4:如何降低报告事件的重要性,甚至阻止报告?
在本文中,我们对EDR产品的安全做了实证评估。根据最新的Gartner2021年报告来选择测试对象。包括了市场上绝大多数领先的EDR厂家。意味着我们覆盖了市场上有代表性、推动这个领域创新和发展的产品。在实验中,我们使用最常见的C2框架-Cobalt Strike。不管是攻击者还是红队,在入侵组织中都在大量使用这个软件。
而且,我们使用成熟域,一个正确分类的过期域,指向托管Cobalt Strike team -server的VPS 服务器,这会减少怀疑,希望绕过一些我们以前经验表明备用域名和过期域名的限制。使用Let’s encrypt 为C2通信申请有效的SSL证书,加密流量。
Cobalt Strike 在受攻击的目标服务器上部署了一个名为“beacons“的客户端代理软件,允许攻击者在目标主机上执行多个任务。我们的实验中,使用Cobalt Strike 可定制 C2 配置,因为它修改了信标的指纹。这掩盖了我们网络的活动和我们恶意软件的行为。
3.1 攻击方式
我们构建了四个不同的真实场景来执行实验,模拟攻击者实际使用的方式。我们认为,一个EDR实证评估应该反映常见攻击模式。既然APT攻击小组最常使用的攻击方式是电子邮件,作为社交工程或鱼叉钓鱼攻击一部分,我们使用恶意软件附件,欺骗受害目标运行文件。而且,我们应该考虑,由于EDR报告的误报率中有很高噪音,最好考虑对每个事件打分。因此,在详细的EDR设置中,我们尽量最小化我们行动的报告评分,使用这种方法,我们保证攻击绕过雷达。
这些定好后,假设威胁攻击者开始使用鱼叉钓鱼软件攻击,欺骗目标用户打开文件或点击链接,来入侵目标主机。为此,我们伪造一些包含云提供商的链接电子邮件,实际指向定制的恶意软件。更准确地说,包括如下攻击方式:
-
.cpl文件:利用本地rundll32,可以双击来运行DLL文件。文件已经用CPLResourceRunner进行了伪装。因此,使用shellcode存储技术,其利用内存映射文件,通过委托(delegate)来触发。
-
合法的Microsoft Team安装来加载一个恶意DLL。这种方式,DLL side-loading将导致自我注入,允许我们“生存“在有签名的二进制文件中,使用AQUARMOURY-Brownie完成这一步。
-
未签名的PE执行文件;从现在起,可以看成EXE文件,使用AQUARMOURY 的“early bird”技术,执行进程注入到werfault.exe。为此,我们使用PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY标志,欺骗explorer.exe的父进程,以保护我们的恶意软件不被Microsoft DLL event 标记为未签名,EDR常常使用这一技术监控进程。
-
HTA文件。一旦用户访问了包含IFrame无害HTML 页面,他将被重定向,并提示运行包含可执行VBS代码的HTML文件,加载定制的.NET 代码,在mshta.exe 上下文环境中执行自我注入。(注:mshta.exe是微软Windows操作系统相关程序,英文全称Microsoft HTML Application,可翻译为微软超文本标记语言应用,用于执行.HTA文件。)
接下来,我们主要评估受到攻击的EDR产品。毫无疑问,在企业环境中,您会希望更多的安全措施,例如防火墙,防病毒等。尽管提高了组织的整体安全,但他们的效果超出了本次工作的范围。
3.2 代码分析
接下来,我们详述每种攻击方式的技术方面。
3.2.1 HTA
我们使用C#和Gadget2JScript工具,生成序列化小工具(Gadget),可以在内存运行。使用ETWpCreateEtwThread执行shellcode,避免CreateThread()这样的常见API。注意在后台使用 RtlCreateUserThread。
3.2.2 EXE 文件
这个攻击背后的主要想法是使用非常简化的代码注入,在main方法之前,使用QueueUserAPC() API执行我们的shellcode。启动一个具有PPID欺骗的牺牲进程,并注入该进程。文件在汇编语言中直接使用系统调用,避免hook函数。需要注意的是Windows 错误报告服务(Windows Error Reporting service ,werfault)是一个特别理想的注入目标,因为一旦进程崩溃,werfault子进程就会出现,意味着父进程可以是任意的。这严重影响父-子进程关系调查。值得注意的是,一旦使用正确的标志,可以避免怀疑。
3.2.3 DLL 侧载(sideloading)
本文中,我们使用brownie-koppeling 项目,从system32目录中邪恶克隆合法DLL文件,并添加到Microsoft Team文件夹中,这样我们的加密shellcode将在这个进程下被触发。而且因为Microsoft Team把自己添加到开始启动菜单中,给我们提供长期驻留目标主机的方法。注意EDR有时忽略自我注入,因为他们认为他们不会改变不同进程。
在图5中,我们描述了shellcode的执行方法。这是一个经典的基于本地注入的CreateThread()方法,将在具有签名和安全合法二进制进程下,启动shellcode。不幸的是,本例中的唯一问题是DLL没有签名,也许会触发防御机制。代码示例中,可以看到使用virtualProtect()。这是为了避免直接分配RWX内存。
最后需要注意的是,在desktop文件夹,手动地安装和执行测试。Microsoft Team 允许DLL劫持。
4 EDR 和EPP 评测
接下来,我们使用攻击评测22款最新的EDR和EPP产品。对每一款EDR产品和它的特性做简要总结。然后继续说明开启了哪个功能,讨论在攻击场景中,他们表现如何。被测产品按字母顺序排列。
4.1 BitDefender GravityZone Plus
BitDefender GravityZone Plus是该公司的旗舰产品,包括EDR、EPP和沙盒功能。其高级情报引擎对常见遥测提供商最大化的使用堪称典范,具有强大的控制台,关联多个信息,实现即时阻断和修复。
4.1.1 CPL
这个攻击作为一个Cobalt Strike行为报警被阻拦。
4.1.2 HTA
这种攻击马上被检测为恶意软件,被阻拦。
4.1.3 DLL
这个攻击被阻拦,但没有提示重要报警。然而,它的事件包含在的其他攻击方式检测中。
4.1.4 EXE
产品非常依赖用户模式hook,这次测试中,当使用系统调用时,攻击内容没有被阻拦,也没有任何报警/事件。
4.2 Carbon Black Response
Carbon Black 是领先的EDR解决方案之一。真正优势来自它的遥测和监控系统上每个操作的能力,例如注册表修改,网络连接等。最重要的是,提供一个SOC友好的接口对主机分类。根据从探头收集到的遥测数据,对比好几个攻陷标志。后者可以聚合成一个分数,根据大小来触发报警。此外,对于EDR,配置起到关键作用。因此在本例中,基于Carbon Black 处理的攻陷标志,我们有一个定制SOC feed。feed可以基于查询,意味着根据Carbon Black处理的事件,基于搜索生成结果,包括并不限于注册表修改,网络连续,模块加载等。
EDR严重依赖内核回调,许多功能包含在它的网络过滤驱动和文件系统过滤驱动中。针对好几种检测,也使用用户模式hook。例如,检测内存dump。Carbon Black的文档中提过,设置用户空间 API hook检测进程内存dump。其他的例子是检查加载到内存中的脚本解释器。文档中提过,驱动程序例程被设置为识别加载内存脚本解释器的进程。
4.2.1 功能开启
Carbon Black Response 在逻辑和用户案例上有所不同。它主要的目的是提供遥测而非主动行动。而且它的能力是在调查时提供协助,因为它不包括阻止功能,而是一个SOC友好的软件,提供深度可见性。所提供的能力和控制台后面的操作者关系很大,除了分类主机,它的检测依赖于可以定制化和生成报警的feed。在我们的例子中,我们使用一些缺省feed,如ATT&CK和Carbon Black的社区feed,和一个定制公司feed。
4.2.2 CPL
由于对shell32.dll异常命名、保存位置和使用,触发了报警。Carbon Black 清楚地发现本例中恶意.cpl文件,但无法明确验证这个行为是否真的有害。因此,报告了该事件,但打分不高。
4.2.3 HTA
检测到.hta文件,由于其父进程是一个可能的CVE,加载了可疑模块。Carbon Black 了解LOLBAS 和LOLBINS,并及时检测到它。
4.2.4 EXE-DLL
至于这两次攻击,没有报警。尽管他们的活动被监测到,生成了主机通讯的遥测,而且能够成功和域通信,最后应该注意到,父进程欺骗(PPID)没有成功。
4.3 Carbon Black Cloud
除了Carbon Black Response,我们也测试了公司在端点保护方面的旗舰产品Carbon Black Cloud。仍然具有非常有效遥测处理功能,并增加了阻止和下一代防病毒软件功能。
4.3.1 功能开启
我们使用VMWare(Carbon Black 已经被vmware收购)生成的高级策略,所有选项设置成阻止功能。
4.3.2 EXE-DLL
两个攻击都成功,没有触发任何报警。
4.3.3 CPL-HTA
检测到这两个攻击,生成重大报警,然而都没有阻止。非常有趣的是,在前面提到的LolBin情况下,HTA有关的攻陷标志加载了CLR.DLL,清楚表明在这过程中,运行了著名C2JS工具和.NET代码。至于CPL文件,使用经典的异常CPL 文件检测方法,检测报告为不阻止。
4.4 Check Point Harmony
4.4.1 功能开启
对于Check Point Harmony,我们在可能的情况下,使用阻止模式,开启仿真/行为(防机器人,防漏洞利用),没有打开safesearch设置,防止哈希检查。
4.4.2 HTA-CPL
HTA攻击,触发中等报警,但没有阻止攻击。在CPL情况下,阻止了攻击,控制台发出报警。
4.4.3 EXE
检测并阻止了EXE攻击。
4.4.4 DLL
没有检测到DLL攻击,当然也就无法阻止。
4.5 Cisco Secure Endpoint(前 AMP,后被思科收购)
AMP是思科的EDR产品,为终端提供阻止、检测和响应功能,还有威胁狩猎。此外使用云分析和机器学习,及时检测威胁。
4.5.1 功能开启
在EDR产品中,我们使用“标准保护策略”,激活“恶意脚本阻止”功能。
4.5.2 CPL-HTA
两个攻击都被阻止了,在CPL 文件例子中,文件被隔离,在HTA例子中,进程被kill。
4.5.3 DLL
在DLL攻击中,我们注意到,虽然攻击被阻止,报警是阻止漏洞利用。因此,我们使用不同的应用程序,执行同样的攻击。事实上,问题看起来和特定应用有关,一旦我们使用了其他应用,使用同样的技术,攻击成功。
4.5.4 EXE
攻击成功,无报警。
4.6 Comodo OpenEDR
OpenEDR是Comodo的开源EDR方案。开源的特点允许很多定制化和扩展。能使用云来管理控制台和使用Comodo的遏制技术来阻止威胁。
4.6.1 功能开启
对OpenEDR,我们使用预配置集,声称能够提供最大化安全,也就是“第三级安全(最高)“。
4.6.2 HTA-DLL
两个攻击向量都成功,无报警。
4.6.3 CPL-EXE
两个攻击都被Comodo遏制技术阻止。虽然文件被发送到控制台,但没有报警。
4.7 CrowdStrike Falcon
CrowdStrike Falcon将最先进的行为检测功能和直观的用户界面结合起来。后者通过进程树和攻击指示器,提供了攻击时事件本身和机器状态清晰视图。Falcon Insight 的内核模式驱动程序抓取超过200种事件和必要的有关信息,以便回溯攻击事故。除了使用经典的内核回调和用户模式hook,Falcon也订阅了ETW Ti feed。
当处理进程注入时,大多数EDR,包括Falcon,在扫描内存之前持续检查Windows API,例如virtualAllocEx和NtMapViewOfSection。一旦Falcon 发现任何进程调用这些函数,它很快检查被分配的内存,确定是否这是一个远程进程生成的新线程。在本例中,持续跟踪线程ID,提取整个注入内存,解析.text部分、Export 部分、PE头、DOS头,显示了PE的名字,开始/停止日期/时间,不限于导出加载函数的地址。
至于响应部分,提供广泛的实时响应功能,根据进程创建、网络连接、文件生成及其他条件,生成定制IOA。
4.7.1 功能开启
对于本产品,我们使用激进策略,尽可能开启所有功能。这是一个已经用在公司环境里的策略,目标是最大化保护和最小限度破坏。
4.7.2 DLL-CPL-HTA
这三种攻击没有生成任何报警,允许Cobalt Strike beacon 偷偷地执行。
4.7.3 EXE
非常有趣,检测到了EXE,虽然直接系统调用可用来绕过用户模式hook。注意报警是中等严重性。
4.8 Cylance PROTECT
根据他们的声明,Cylance是最早集成AI和机器学习,把产品升级到下一代防病毒(NGAV)的厂商之一。在以前,由于非常依赖用户模式hook,Cylance PROTECT被许多研究者作为参考点。也是一个很好的例子,说明使用智能引擎和智能遥测,新一代保护如何被绕过。从那时起,解决方案进步了很多,检测的战略方法看起来构建在同样的传统基础上,只不过使用了AI。
4.8.1 功能开启
Cylance PROTECT的设置非常简单。对于我们的实验,我们设置所有可能的保护为“on”和“阻止&隔离”,开启日志。
4.8.2 EXE
Cylance PROTECT没有检测到EXE攻击。
4.8.3 DLL-CPL-HTA
DLL攻击被阻止,其他两种攻击(CPL和HTA),尽管我们做了好几个测试,都无法执行。而且虽然我们开启了日志,没有看到任何报警或任何阻止。
4.9 Cynet
Cynet的核心功能包含于Cynet Endpoint Scanner,提供的一些主要功能是基于内存的制件扫描和检测,还有“内存特征报警”,实时运行,提供持续的系统进程监控。大多数检测和阻止功能基于驱动的微型过滤器和静态检测的机器学习算法,也就是Cynet的下一代防病毒产品。利用上述内存扫描检测常见威胁和常见的ETW提供商。目前还不是EtwTi。最后,Cynet使用网络过滤方法,获取更多的了解。
就像他们声称过的,公司的方法基于多层思维模式,依赖遥测源提供尽可能多的信息。这种思维方式的例子是LSASS dumping 保护,在内核层跟踪用户模式dumping 技术,依赖打开lsass的句柄。然而,命令行监控之上,进一步使用字符串监控,如“procdump”或“lsass”,确保更深入的洞察。
作为内核级进程句柄监控和保护常用例子,我们可以看看ObRegisterCallbacks 例程,这是防病毒方案主要使用的微软基于内核的进程和线程句柄hook。网上有多个在线用例,关于如何使用这个方法和访问掩码结合的方式来保护进程。Cynet也使用简单但有效诱饵文件,阻止(勒索软件是目标不可知的)勒索软件,在其他多个案例中证明了关键作用。此外,根据他们的多篇文章,内存特征报警是基于字符串检测。
虽然大多数攻击是成功的,Cynet 宣称一些差异已经导致内存扫描的失效,无法马上阻止常见的恶意软件,例如我们使用的Cobalt Strike。评估之后,厂商立刻处理提交并及时响应,推送多个更新,努力修复发现的问题,包括和内存扫描相关的内容。
4.9.1 功能开启
Cynet,我们使用激进配置,在可能情况开启阻止模式,启用所有功能,包括ADT、事件监控等。
4.9.2 CPL
通过静态检测,CPL攻击被阻止。
4.9.4 HTA-EXE-DLL
所有三种攻击获得成功,没有任何报警。
4.10 Elastic EDR
Elastic 是市场上为数不多的开源解决方案之一。基于著名的ELK栈,允许高级搜索和可视化,开源的特点支持未来更多的定制化。
4.10.1 功能开启
我们开启所有阻止设置和可用源,例如,文件修改。
4.10.2 DLL
检测到DLL攻击,一旦访问磁盘就阻止。
4.10.3 CPL
在内存中检测到CPL攻击,进行阻止。
4.10.4 EXE-HTA
两种攻击成功实现,没有任何报警。
4.11 ESET PROTECT 企业版
ESET PROTECT 企业版是广泛使用的端点解决方案,使用行为和声誉系统缓解攻击。此外使用云沙盒阻止零日威胁,全盘加密提高数据保护。EPP从百万个终端实时收集反馈,还有内核回调、ETW(Event Tracing for Windows,windows 事件追踪)、hook技术。
ESET PROTECT企业版,根据用户或组的要求,允许编辑XML文件微调,来定制策略。对于这一点,蓝队可以使用文件名、路径、哈希值、命令行和特征来决定触发报警的条件。
我们使用ESET PROTECT企业版,使用最大预定义配置,无需进一步微调。
4.11.1 功能开启
我们使用预定义策略,实现最大的安全性,也是ESET PROTECT 在控制台里声明的。使用了机器学习、深度行为检查、SSL过滤、PUA检测,我们决定对终端用户隐藏图形界面。
4.11.2 EXE-DLL
这两种攻击成功运行,没有阻止和任何报警。
4.11.3 CPL-HTA
准确识别CPL和HTA攻击并进行阻止,特别是,ESET内存扫描器正确地发现了恶意代码,但把名字错误的标成Meterpreter。
4.12 F-Secure Elements
F-Secure Elements 包含好几个产品,本次实验测试了两个产品。分别是EPP和EDR。两种方案都从端点收集行为事件,包括文件访问、进程、网络连接、注册表更改和系统日志。为实现这个目标,Elements 在其他功能中,使用Windows 事件追踪。虽然F-Secure Elements EDR 使用机器学习完善功能,常常需要网络安全专家介入。EDR也包括内置事件管理,特别是当检测得到证实后,F-Secure Elements EDR内置指南,推动用户使用必要的步骤,遏制和修复检测到的威胁。
4.12.1 功能开启
根据我们的实验,我们开启了EDR和EPP的全部功能,包括深度保护。我们也包括基于声誉的浏览控制,开启防火墙开启。在第一版手稿中,只包括EPP结果,值得注意的是,所有发动的攻击都成功,没有任何报警。
然而在 F-Secure的协助之下,发现最初的测试仅仅适合EPP方案。因此F-Secure 帮助设置了EDR产品许可,这样我们可以在我们环境中测试。为了确保不考虑新的检测,在这个配置中,数据库许可降级为更早日期,2021年6月18日。我们测试了F-Secure EDR 产品两次。测试中检测到了三种攻击,两种是马上检测到,第三种有5小时的延迟。由于F-Secure 降级了数据库,混乱导致后端系统的错误配置。一旦更改了错误配置,特定攻击检测时间就减少到25分钟。由于EDR产品的特性,没有攻击被阻止。
4.12.2 F-Secure EPP
在F-Secure EPP案例中,没检测到攻击,也没有阻止。得到厂商证实。
4.12.3 F-Secure EDR
在F-Secure EDR例子中,需要注意的是,两种攻击方式被合并到一个攻击中,一个被标记为中级报警。最后,EXE攻击都成功了。
4.13 FortiEDR
FortiEDR非常依赖仿真模式,但由于时间和实验本身的原因,没有使用。这是一个训练过程,学习和了解组织的职能。它充分利用回调,尝试识别和阻止没有映射的代码和感染过程中的动态行为。根据我们的实验,当反射注入时,会出现这些报警,因为我们已经在好几个使用上述技术的工具中观察到这个报警,报警和文件从内存加载有关。而且,HTA的COM活动被阻止。
4.13.1 功能开启
在FortiEDR中,我们使用激进设置,开启所有功能和阻止模式。
4.13.2 CPL-HTA-EXE-DLL
FortiEDR 设法检测和阻止了所有的攻击方式。
4.14 Harfang Lab Hurukai
Harfang Lab 是这个市场的新玩家。他们的EDR尝试提供广泛的可见性和某些急需的分析功能,包括实时反汇编和基于Yara检测恶意特征和扩展初始检测的功能。虽然阻止不是他们的主要目标,产品能适当调整,研发团队可以提供功能。
4.14.1 功能开启
实验在Harfang Lab团队的协助下进行。设置成提供最高水平的检测,然而,没有设置阻止模式。
4.14.2 CPL-EXE
CPL攻击被检测为可疑执行。EXE攻击也检测到,由于牺牲进程werfault.exe没有任何标志(甚至假标志)。实际上如果存在假标志,则不会检测到攻击。
4.14.3 DLL-HTA
没有检测到这两种攻击。
4.15 ITrust ACSIA
ITrust 声称它的安全方案ACSIA,在EDR领域,是颠覆性的,使用完全不同的方法,在payload到达目标之前,阻止执行。他们的方案不是基于传统的遥测源,没有定制的微型过滤。但看起来像是基于如日志收集器之类的工具。
4.15.1 功能开启
在提供的环境中,厂商开启了所有的设置。
4.15.2 CPL-HTA-EXE-DLL
所有攻击都顺利通过,EDR没有任何报警。有趣的是,考虑到实验中所需的C语言运行环境安装, 触发报警这一事实,我们尝试使用恶意.msi文件进一步触发方案,验证所有的组件都工作正常。攻击没有被阻止,安装也发现很干净。厂商证实了功能正常。
4.16 Kaspersky Endpoint Security
Kaspersky Endpoint Security 端点安全平台,具有多层安全措施,使用机器学习功能检测威胁。而且这个EPP客户端软件可以作为EDR客户端,促进漏洞和补丁管理及数据加密。
4.16.1 功能开启
在我们的实验中,我们开启每个分类中所有安全相关的功能。然而,对于Web和应用控制,我们没有应用任何特定的配置。更准确地说,我们生成了一个策略,开启所有行为检测、漏洞攻击、进程内存保护、HTTPS、防火墙,AMSI和文件系统定向模块。阻止和删除所有恶意软件和行为。
4.16.2 CPL-HTA-EXE
在这三种攻击中,Kaspersky Endpoint Security 及时发现和阻止我们的攻击,更准确地说,EXE和CPL进程在执行之后被杀掉,HTA是只要访问磁盘就被阻止
4.16.3 DLL
DLL攻击成功,没有遥测被记录。
(上)
原文始发于微信公众号(安全行者老霍):端点安全系统针对APT攻击的实证评估(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论