随着EDR解决方案已成为网络安全领域不可或缺的一部分,在数百万个端点和服务器上运行,它们在高级威胁检测中的作用是无可争议的。然而,权力越大,责任越大,不正确的部署可能会导致严重漏洞,并可能被恶意行为者利用。
SafeBreach Labs研究团队在上周结束的2024亚洲黑帽大会上发布的一项研究成果,探索了一种独特的方法,与之前的研究和现实世界中旨在绕过、禁用或删除EDR系统的攻击不同,所有这些对于高级持续威胁(APT)活动来说往往是显而易见且不切实际的。他们的方法涉及对EDR的控制,从而能够在其上下文中执行代码。该实验室研究人中以Palo Alto Networks Cortex XDR为对象,不仅演示了如何操纵系统绕过安全措施,还演示了将 EDR转变为隐秘且独特的持久性恶意软件形式。研究成果超越了现有攻击的局限性,这些攻击对于APT活动来说往往过于引人注目。研究人员成功绕过了Cortex XDR实现的重要安全功能,包括机器学习检测模块、行为模块规避、实时预防规则以及克服针对文件修改的过滤驱动程序保护。
更深层次的研究还包括敏感用户凭证的泄露、在目标系统上建立持久性、整机加密(FUD)、完整的LSASS内存转储、隐藏恶意活动通知、绕过XDR管理员口令以及全面利用XDR进行攻击等。值得注意的是,研究者建议的持久性非常强大,以至于需要对受感染的计算机进行物理访问,因为无法从管理界面远程删除XDR。
端点检测和响应(EDR)解决方案已成为许多企业端点安全策略的关键组成部分,预计到2030年市场价值将接近170亿美元。这在很大程度上是由于COVID-19大流行后远程工作的增加、由此产生的自带设备(BYOD)趋势(员工使用个人设备进行与工作相关的活动)以及技术的不断发展。
EDR解决方案旨在监控最终用户设备(例如笔记本电脑、台式机和服务器),以帮助组织更好地检测和解决勒索软件和恶意软件等威胁。正如Gartner所指出的,EDR解决方案“记录和存储端点系统级行为,使用各种数据分析技术来检测可疑的系统行为,提供上下文信息,阻止恶意活动,并提供修复建议以恢复受影响的系统。”为了执行这些活动,EDR通常以最高权限运行,同时“防篡改”且持久。
研究团队地了解了有关Cortex XDR勒索软件保护如何工作的信息后,将研究目标锁定在三个方面:
首先,看看是否可以通过滥用从ransom.lua文件中获得的知识来绕过XDR的勒索软件保护。
其次,看看是否可以使用内容文件中的检测逻辑完成哪些其他恶意操作。
第三,看看是否能够在XDR本身内部实际运行恶意软件,而不仅仅是绕过它。
事实表明,研究人员不仅实现了Cortex XDR勒索软件保护的绕过、内存转储防护的绕过和防篡改绕过,更为关键的是达成了在XDR内部运行恶意软件的目的。
研究团队发现的绕过方法非常重要,因为它们允许在受害者计算机内执行各种恶意操作。但是,它们并没有达到在EDR本身内部运行恶意软件的真正目标。因此,研究人员继续考虑高级持续威胁(APT)组织在这种情况下可能会做什么。大多数APT组织追求的是隐秘性、持久性和高特权。
他们开始考虑可以修改Lua规则。由于Lua实际上是一种编程语言,也许可以插入自己的恶意代码在XDR中运行,而不是简单地更改规则。为了进行完整性测试,研究者尝试插入一段非常简单的代码,在桌面上创建一个文件。添加代码并运行签入后,它起作用了。
接下来,编写了一个简单的函数来执行预设的命令。目标是看看是否可以在cyserver进程中运行自己的命令。
但这一次发生了一些非常奇怪的事情——当研究者尝试运行这段代码时,XDR主进程cyserver.exe完全崩溃了。io.popen函数是导致该行为的关键。猜测可能是添加的代码调用了未处理的异常,并导致cyserver.exe崩溃。
研究者尝试了更多技术来使用LUA运行特定的代码,包括加载恶意动态链接库 (DLL) 和使用其他Lua命令来运行代码。不幸的是,这些都不起作用。但是,这种网络服务器崩溃的行为很快就会派上用场。
作为负责任的披露,研究团队将所有问题于2023年向Palo Alto Networks报告,并于2024年2月收到以下回复:Palo Alto称安全是其的首要任务。SafeBreach在[10]个月前通报的研究情况,已通过向客户自动更新内容来解决该功能绕过问题。
这项研究的意义——有可能给数百万用户带来重大的安全风险——SafeBreach提出了几个重要的结论:
1、主动研究识别端点产品中的安全风险可能比研究操作系统(OS)中的安全风险更有价值。利用操作系统中的风险的攻击者仍然必须与另一个守护者抗衡:EDR。然而,如果攻击者突破了最高守护者(即EDR),他们将能够不受限制地访问大量强大的功能,而无需面对任何守护者。
2、应严密保护安全产品检测过程背后的逻辑。这项研究已经证明,通过让攻击者通过解决方案的内容文件访问这种敏感的检测逻辑,他们更有可能设计出绕过它的方法。SafeBreach认为端点安全供应商必须确保:
(1)内容文件在磁盘上时是加密的。虽然这些文件将在某些时候在内存中被解密,但这将使分析文件和开发绕过变得更加困难。
(2)内容文件必须经过数字签名/验证,并且不依赖于可能作为单点故障而被绕过的外部防篡改层。
3、在“允许列表”或“阻止列表”上添加进程或操作应基于多个参数。更具体地说,参数不应被攻击者操纵。例如,仅根据进程名称将进程添加到“允许列表”(攻击者可以轻松修改该名称),或者根据命令正则表达式检测进程转储是不够的。
1.https://www.safebreach.com/blog/dark-side-of-edr-offensive-tool/
2.https://www.blackhat.com/asia-24/briefings/schedule/#edr-reloaded-erase-data-remotely-36730
原文来源:网空闲话plus
评论