研究者把EDR安全工具改造成超级恶意软件

安全 应用安全
EDR/XDR是当前流行的网络安全解决方案,在高级威胁检测中发挥着重要作用,监控着数以百万计的端点和服务器。然而,权力越大,责任越大,这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“,用来部署勒索软件、窃取机密信息,而且难以被发觉和删除。

近日,安全研究员Shmuel Cohen在Black Hat Asia大会上展示了如何用逆向工程破解Palo Alto Networks的Cortex XDR安全软件,并将其转换为隐蔽持久的“超级恶意工具“,用于部署后门程序和勒索软件。这一发现凸显了EDR/XDR等强大安全工具的潜在风险,也为网络安全防御敲响了警钟。

XDR(Extended Detection and Response)是一种集成了威胁检测、调查和响应功能的安全解决方案,能够为企业提供全面的安全防护。然而,强大的功能也伴随着潜在的风险。Shmuel Cohen的研究表明,EDR/XDR本身也可能成为攻击者的目标,被用来实施恶意攻击。

Cohen通过逆向工程和分析Cortex XDR软件,发现了一些可以被利用的漏洞。他利用这些漏洞,成功地绕过了Cortex XDR的安全机制(包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护)。

具体来说,Cohen做到以下几件事:

  • 修改了XDR的安全规则,使其无法检测到他的恶意活动。
  • 部署了后门程序,使他能远程控制受感染的计算机。
  • 植入了勒索软件,向受害者索取赎金。
  • 敏感用户账号泄露
  • 在系统中长期驻留(无法从管理界面远程删除)
  • 整机加密(FUD)
  • 完整的LSASS内存转储
  • 隐藏恶意活动通知
  • 绕过XDR管理员密码
  • 全面利用XDR实施攻击

Cohen指出,虽然Palo Alto Networks与其合作修复了漏洞并发布补丁程序,但其他XDR平台也很可能存在类似的漏洞,容易受到攻击。

Cohen的攻击证明,即使是像Palo Alto Cortex XDR这样的知名安全软件也并非绝对安全。

安全专家指出,用户部署使用功能强大的安全工具时,不可避免地存在“魔鬼交易“:为了让这些安全工具完成工作,必须授予它们高级权限来访问系统中的每个角落。

例如,为了跨IT系统执行实时监控和威胁检测,XDR需要尽可能高的权限,访问非常敏感的信息,而且启动时不能被轻易删除。

这意味着一旦攻击者能够利用安全软件的漏洞,就可将其变成杀伤力极大的攻击武器。因此,企业在部署EDR/XDR等安全解决方案时,需要提高警惕,加强安全管理,并定期进行安全评估和漏洞修复。

责任编辑:华轩 来源: GoUpSec
相关推荐

2015-12-01 15:36:10

逆向工程命令行工具Process Dum

2022-03-28 08:41:27

恶意软件勒索软件网络攻击

2023-06-25 18:00:00

人工智能ChatGPT网络安全

2010-01-25 17:14:09

2012-06-08 14:35:27

2020-08-06 15:51:29

网络安全

2019-05-22 08:11:51

Winnti恶意软件Linux

2016-02-24 22:26:04

2011-08-29 10:51:51

UbuntuWindows7

2011-08-09 18:06:20

windows7windowsXP

2013-08-06 17:54:32

2013-10-09 09:27:58

2020-03-17 08:09:30

恶意软件安全木马

2014-04-03 17:47:26

2013-08-12 15:44:44

Pyew恶意软件分析工具恶意软件分析

2013-11-01 10:23:37

Web程序

2023-10-20 21:10:25

2022-07-18 23:44:32

安全漏洞信息安全

2015-03-26 10:41:41

谷歌开发者恶意软件拦截工具包

2021-02-26 01:01:51

影子攻击漏洞攻击
点赞
收藏

51CTO技术栈公众号