ΑρχικήsecurityΠώς οι χάκερς καταχρώνται τις λύσεις ασφαλείας EDR;

Πώς οι χάκερς καταχρώνται τις λύσεις ασφαλείας EDR;

Οι τεχνολογίες ανίχνευσης και αντίδρασης στα τελικά σημεία (EDR) έχουν τη δυνατότητα να μετατραπούν σε εργαλεία για κακόβουλες επιθέσεις, όπως αποκάλυψε έρευνα από ειδικό ασφαλείας της SafeBreach.

EDR endpoint

Σχεδιασμένες για να αποτρέπουν την είσοδο κακόβουλου λογισμικού και να αντιμετωπίζουν διάφορους τύπους απειλών, οι λύσεις EDR λειτουργούν με εκτεταμένα δικαιώματα. Ένας πιθανός συμβιβασμός τους θα επέτρεπε στους χάκερς να αποκτήσουν διακριτική και μόνιμη πρόσβαση στις συσκευές που έχουν ως στόχο.

Διαβάστε επίσης: ANY.RUN S andbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux

Σε μια προσπάθεια να αποδείξει ότι πράγματι αυτό είναι εφικτό, ο Shmuel Cohen, ερευνητής ασφαλείας στην SafeBreach, προχώρησε σε μια λεπτομερή ανάλυση των εσωτερικών μηχανισμών της πλατφόρμας εκτεταμένης ανίχνευσης και απόκρισης (XDR) της Palo Alto Networks. Σκοπός του ήταν να εντοπίσει ευπάθειες που θα του επέτρεπαν την κατάχρηση του εργαλείου ασφαλείας. Οι αναφερθείσες αδυναμίες επιλύθηκαν από τον προμηθευτή μερικούς μήνες πριν.

Η πρόσφατη εισβολή αποκάλυψε την αδυναμία του Cortex XDR να αντιμετωπίσει επιθέσεις, καθώς επέτρεψε σε χάκερς να παρακάμψουν τις προστασίες κατά των παραβιάσεων αρχείων, να εγκαταστήσουν και να εκτελέσουν ransomware για την κρυπτογράφηση αρχείων, και μάλιστα να φορτώσουν ευάλωτους οδηγούς προκειμένου να εμποδίσουν την απεγκατάσταση του Cortex XDR με τη χρήση του κωδικού απεγκατάστασης του διαχειριστή.

Στην έρευνά του, ο ερευνητής ανακάλυψε μια τεχνική για την έγχυση κακόβουλου κώδικα σε μία από τις διαδικασίες του συστήματος ασφαλείας. Αυτό του επέτρεψε να εκτελέσει κώδικα με υψηλά προνόμια χωρίς να ανιχνεύεται.

Όπως ανακάλυψε ο Cohen, το Cortex XDR είναι δομημένο γύρω από μια συλλογή πολιτικών κανόνων και αρχείων Lua και Python, που βασίζονται στο κείμενο για τη διαμόρφωσή του, επιτρέποντας στον ερευνητή να παρακάμψει τις συνήθεις λειτουργίες του και να εκτελέσει κακόβουλες ενέργειες.

Για παράδειγμα, η λειτουργία αντιμετώπισης του ransomware θα χρησιμοποιήσει εικονικά αρχεία (honeypots), τοποθετημένα σε διάφορους φακέλους, με σκοπό την ανίχνευση επιθέσεων από κακόβουλο λογισμικό που επιχειρεί να τα αλλάξει. Επιπλέον, ένα προηγμένο μίνι φίλτρο θα διασφαλίζει την κρυφή λειτουργία αυτών των αρχείων, αυξάνοντας την ασφάλεια.

Παρά το γεγονός ότι η πλατφόρμα ασφαλείας διαθέτει μια κατάλογο εγκεκριμένων διαδικασιών που δεν επιτρέπεται να προσπελάσουν τα εν λόγω αρχεία, ο Cohen κατάφερε να δημιουργήσει ένα ransomware για την κρυπτογράφηση αρχείων, απλώς μετονομάζοντας το κακόβουλο λογισμικό σε ένα όνομα που περιλαμβάνεται στη λίστα.

Ο ερευνητής κατάφερε να παρακάμψει τη μνήμη της διαδικασίας LSASS, αναλύοντας και εφαρμόζοντας τους κανόνες πρόληψης και τις εξαιρέσεις διεργασιών που καθορίζονται στα αρχεία διαμόρφωσης του Cortex XDR. Προχώρησε στη μετονομασία του εργαλείου εναπόθεσης μνήμης, σύμφωνα με αυτούς τους κανόνες.

Στην πορεία της έρευνας, ο ερευνητής αποκάλυψε ότι ήταν δυνατόν να παρακαμφθούν οι ασφαλιστικές δικλίδες του Cortex XDR. Αυτό επιτεύχθηκε μέσω της δημιουργίας ενός σκληρού συνδέσμου προς ένα προστατευόμενο στοχευμένο αρχείο, επιτρέποντας στον ερευνητή να φορτώσει έναν ευάλωτο οδηγό και κατόπιν να εξαπατήσει την ασφαλιστική λύση ώστε να τον φορτώσει.

Διαβάστε ακόμη: Χάκερς διακινούν κακόβουλο λογισμικό USB μέσω ιστότοπων

Η μέθοδος που επιλέχθηκε από τον Cohen επιτρέπει σε διαδικασίες που εκτελούνται στον χώρο του χρήστη να πραγματοποιούν ανάγνωση και εγγραφή στη μνήμη του πυρήνα, προσφέροντας έτσι τη δυνατότητα αύξησης προνομίων. Ο ερευνητής χρησιμοποίησε αυτήν τη δυνατότητα για να τροποποιήσει τον μηχανισμό επαλήθευσης κωδικών πρόσβασης στο Cortex, καθιστώντας δυνατή τη λειτουργία του συστήματος με οποιοδήποτε κωδικό πρόσβασης. Παράλληλα, προσέφερε την επιλογή να διαμορφώσει το σύστημα έτσι ώστε να μην απαιτείται καθόλου κωδικός πρόσβασης, αποκλείοντας τη δυνατότητα απενεργοποίησης του Cortex σε περίπτωση που το σύστημα αποσυνδεθεί από τον διακομιστή διαχείρισης.

Τέλος, ο Cohen ανακάλυψε τη δυνατότητα μετατροπής των κανόνων Lua ώστε να διακόπτεται ο cyserver – η κεντρική διαδικασία XDR. Επιπλέον, ανακάλυψε ότι η λύση ασφαλείας χρησιμοποιούσε αρχεία Python, τα οποία θα μπορούσαν να δεχθούν ενσωμάτωση κακόβουλου κώδικα και στη συνέχεια να φορτωθούν σε μια από τις διαδικασίες της εφαρμογής, προκαλώντας την κατάρρευση του cyserver.

«Ενημέρωσα το script της κύριας υπηρεσίας Python, προκαλώντας την κατάρρευση του cyserver και στη συνέχεια τον επαναφέρω αμέσως σε λειτουργία. Αυτή η διαδικασία επέτρεψε την εκτέλεση του δικού μου κώδικα, παρέχοντάς μου πρόσβαση σε μια κρίσιμη ευπάθεια στο σύστημα με δικαιώματα NT/συστήματος, αποκτώντας έτσι ένα από τα υψηλότερα δυνατά επίπεδα προνομίων. Το κακόβουλο λογισμικό μου ήταν κρυμμένο εντός του cyserver και εφόσον εκτελούνταν μέσω ενός από τα δικά του προγράμματα, παρέμεινε ανεντόπιστο, αόρατο, επίμονο και με υψηλά προνόμια, όπως επισημαίνει ο Cohen.

Όπως επισημαίνει ο Cohen, η έρευνα δείχνει ότι οι επιθέσεις οι οποίες καταφέρνουν να παραβιάσουν οποιοδήποτε σύστημα EDR – το οποίο λειτουργεί ως η ανώτερη γραμμή άμυνας σε ένα δίκτυο – μπορούν να παρέχουν στους χάκερς ισχυρές δυνατότητες, οι οποίες ενδεχομένως να μην μπορούν να εντοπιστούν και να αντιμετωπιστούν.

EDR

Επισημαίνεται επίσης η σημασία της προστασίας που διέπει τις διαδικασίες ανίχνευσης από τα προϊόντα ασφαλείας, υπογραμμίζοντας την ανάγκη κρυπτογράφησης και ψηφιακής υπογραφής των αρχείων περιεχομένου προκειμένου να αποτρέπονται πιθανές παραβιάσεις. Προτείνεται επίσης η προσθήκη των διαδικασιών σε λίστες επιτρεπόμενων ή αποκλειστικών, βασισμένες σε πολλαπλές παραμέτρους, τις οποίες οι εισβολείς δεν θα μπορούν να τροποποιήσουν.

Δείτε περισσότερα: Kaspersky: Κακόβουλο λογισμικό Mac στοχεύει κρυπτονομίσματα

Περίπου 10 μήνες πριν, ο ερευνητής ενημέρωσε τη Palo Alto Networks για ορισμένα προβλήματα, τα οποία η εταιρεία ασφαλείας αντιμετώπισε αποτελεσματικά μέσω αυτοματοποιημένων ενημερώσεων περιεχομένου.

Πηγή: securityweek

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS