揭秘 | 攻击者规避 XDR检测的惯用手法及应对建议

为了更好地理解攻击者如何规避XDR系统，本文深入分析了XDR系统运营的三个关键时期：数据采集、检测分析和响应处置，并对其中容易发生的检测规避情况提出防护建议和策略。

具体来说，这个阶段的检测规避行为包括以下几种情况：

1、攻击者的行为没有产生“相关”的遥测数据。“相关”是指系统上的每个操作都会产生一定数量的遥测数据，但这些事件可能对创建良好的检测没有意义。因此，可以将其视为系统中缺失的事件源，而不是XDR的缺陷。

2、系统产生了遥测信息但未被XDR接收。XDR可以订阅成千上万的事件源，供应商的任务是决定需要哪些事件源来满足他们的检测需求。例如，如果XDR供应商对检测与活动目录（AD）相关的行为特别感兴趣，他们就会优先从AD而非网络流量中收集事件。未收集某些类型的事件（无论是出于选择还是出于疏忽），会导致XDR的检测覆盖面出现可利用的缺口。

3、攻击者可能会主动干扰XDR代理，这样事件就不会发送到负责收集和关联的集中式服务器。这种干扰同样有多种形式，包括停止或卸载代理，阻止其与服务器的通信（例如，通过基于主机的防火墙修改），或篡改传感器（例如，禁用AMSI）。

无论哪种检测类型都会有不足。“精确检测”很容易被规避，因为它们往往过于具体，这意味着对目标样本的任何修改都会导致误报。例如，攻击者将Mimikatz的参数字符串从“sekurlsa::logonpasswords”修改成“nothings::happening_here”，就能轻松破坏检测逻辑。

“鲁棒检测”虽看上去不太容易被规避，但却存在极大的误报性，导致规则中的排除项被攻击者滥用。例如，将Chrome更新进程“GoogleUpdate.exe”排除在凭据转储检测之外，允许攻击者伪装成更新助手或注入其中，以在不被检测的情况下提取凭据。

第一类规避通常发生在“分类阶段”。在此阶段，1级分析人员接收到警报并错误地将其标记为假阳性。这将导致尽管XDR正在执行其工作，但该行为仍未被注意到。这种失败可能源于警报疲劳，或者缺乏对检测目的和信息含义的理解。

有效警报发出后就会正式进入“调查阶段”，以更具体地确定警报是否值得升级为全面事件。该过程通常是手动的，需要技能娴熟的分析人员查询有问题的系统并提取支持信息。由此会产生许多与调查人员和攻击者技能相关的故障点。例如，如果分析人员需要检查磁盘上的文件，但攻击者已经先发制人地删除了该文件，会发生什么情况？如果需要内存取证，但攻击者已经重启了系统怎么办？解决这些故障点需要强有力的支持文档，例如在疑似阳性警报事件中应该收集什么以及该信息的含义。

最后，在警报被确认为真正的有效事件并宣布发生事件之后，便正式进入“响应阶段”，并涉及驱逐威胁行为者。在此阶段面临的最大错误是，防御团队错误地判断事件的范围，导致不完全驱逐，并允许攻击者在环境中持续存在很长时间。

不断发生的勒索攻击和供应链攻击都证明了，在网络安全世界中，弹性比以往任何时候更加重要。虽然部署EDR/XDR等防御能力仍然不可或缺，但这还远远不够。面对当今包罗万象、不断演变的威胁场景，需要将网络风险防护策略深入到整个组织，同时还要提升敏捷性。要想增强网络安全弹性，不仅仅是网络安全团队的事情，而是关乎整个企业的事情。要实现这一目标，就需要整个组织的网络安全知识、技能和意识得到持续提升。