《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 主流EDR產(chǎn)品曝通用漏洞:可被植入惡意軟件

主流EDR產(chǎn)品曝通用漏洞:可被植入惡意軟件

2021-04-15
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: EDR產(chǎn)品 惡意軟件

  最新研究表明,大多數(shù)端點(diǎn)檢測(cè)和響應(yīng)(EDR)產(chǎn)品用于監(jiān)視正在運(yùn)行進(jìn)程的“鉤子”(hooking)技術(shù)可以被濫用。

  幾乎所有EDR系統(tǒng)的工作方式都存在一個(gè)通用缺陷,攻擊者可以利用這個(gè)缺陷偷偷植入惡意軟件。

  安全公司Optiv在近期的一份報(bào)告中表示,解決該問(wèn)題并非易事,需要對(duì)市場(chǎng)上大多數(shù)EDR系統(tǒng)進(jìn)行重大改造。

  EDR產(chǎn)品旨在檢測(cè)并響應(yīng)端點(diǎn)設(shè)備上的可疑行為和攻擊。大多數(shù)產(chǎn)品結(jié)合了基于簽名的惡意軟件檢測(cè)、啟發(fā)式分析、沙箱以及其他技術(shù),發(fā)現(xiàn)和阻止威脅。安全團(tuán)隊(duì)使用EDR快速隔離失陷的系統(tǒng),收集端點(diǎn)日志和其他威脅跡象來(lái)進(jìn)行補(bǔ)救。

  微信圖片_20210415162523.jpg

  EDR系統(tǒng)的數(shù)據(jù)遙測(cè)流程

  許多EDR產(chǎn)品使用“鉤子”技術(shù)檢測(cè)可疑活動(dòng)并收集信息,進(jìn)行基于行為的分析。Optiv的技術(shù)經(jīng)理Matthew Eidelberg解釋?zhuān)般^子”技術(shù)用于監(jiān)視計(jì)算機(jī)正在運(yùn)行的進(jìn)程?!般^子”設(shè)置在系統(tǒng)調(diào)用接口上,系統(tǒng)調(diào)用接口允許正在運(yùn)行的進(jìn)程與操作系統(tǒng)進(jìn)行交互,請(qǐng)求服務(wù),例如分配內(nèi)存或創(chuàng)建文件。

微信圖片_20210415162538.jpg

進(jìn)程調(diào)用執(zhí)行流程示例

  Eidelberg說(shuō):“許多EDR產(chǎn)品將‘鉤子’設(shè)置在用戶(hù)有權(quán)訪問(wèn)的程序執(zhí)行點(diǎn),因此用戶(hù)有權(quán)刪除或完全繞開(kāi)這些‘鉤子’?!?/p>

  “鉤子”為終端設(shè)備上的EDR代理(agent)提供了監(jiān)視所有正在運(yùn)行的進(jìn)程并查找對(duì)這些進(jìn)程的任何更改的方法。EDR代理將“鉤子”收集的數(shù)據(jù)傳遞到EDR供應(yīng)商的云端平臺(tái),進(jìn)行進(jìn)一步分析。

  問(wèn)題在于,“鉤子”位于用戶(hù)空間中,因而當(dāng)創(chuàng)建進(jìn)程時(shí),該進(jìn)程內(nèi)存空間中的所有內(nèi)容都與運(yùn)行它的用戶(hù)具有相同的權(quán)限。

  Eidelberg說(shuō):“這意味著惡意代碼與系統(tǒng)動(dòng)態(tài)鏈接庫(kù)具有相同的權(quán)限?!?/p>

  結(jié)果,攻擊者可以修改這些系統(tǒng)動(dòng)態(tài)鏈接庫(kù)中的“鉤子”,允許惡意代碼繞過(guò)EDR產(chǎn)品的檢測(cè)和補(bǔ)救機(jī)制。由于存在“鉤子”,攻擊者還可能在進(jìn)程中寫(xiě)入自己的惡意系統(tǒng)調(diào)用函數(shù),使操作系統(tǒng)執(zhí)行這些函數(shù)。

  微信圖片_20210415162600.jpg

  鉤子/Hooking執(zhí)行流程示例

  Eidelberg說(shuō):“ EDR產(chǎn)品不知道惡意系統(tǒng)調(diào)用函數(shù)的存在及其位置,因此無(wú)法鉤住惡意系統(tǒng)調(diào)用函數(shù)。”

  Optiv對(duì)EDR和內(nèi)存“鉤子”弱點(diǎn)的研究建立在其他研究人員先前的工作基礎(chǔ)上。Optiv在其報(bào)告中表示,安全供應(yīng)商與其專(zhuān)注于僅適用于單個(gè)產(chǎn)品的技術(shù),不如看它是否能夠發(fā)現(xiàn)攻擊者可以利用的所有EDR產(chǎn)品的“鉤子”系統(tǒng)性問(wèn)題。作為這項(xiàng)工作的一部分,Optiv開(kāi)發(fā)了一些漏洞利用程序,展示如何投遞惡意軟件偷偷繞過(guò)四家全球領(lǐng)先EDR產(chǎn)品的保護(hù)。

  Eidelberg指出,攻擊者只需要訪問(wèn)遠(yuǎn)程端點(diǎn)即可執(zhí)行這些攻擊。但是,在內(nèi)核空間中運(yùn)行的EDR應(yīng)不會(huì)受到影響。

  Eidelberg說(shuō):“這是因?yàn)閮?nèi)核‘鉤子’安全是非??煽康模嚎紤]到內(nèi)核代碼加載的安全控制,攻擊者很難在內(nèi)核中執(zhí)行任何操作?!?/p>

  Eidelberg 表示,Optiv一直在幫助EDR供應(yīng)商了解攻擊者在自然環(huán)境下如何利用這些問(wèn)題。他說(shuō),一些EDR供應(yīng)商已經(jīng)開(kāi)始改進(jìn)其產(chǎn)品,并通過(guò)“鉤子”增加收集遙測(cè)數(shù)據(jù),看EDR是否能夠檢測(cè)到對(duì)系統(tǒng)動(dòng)態(tài)鏈接庫(kù)的篡改。一些EDR供應(yīng)商甚至將“鉤子”轉(zhuǎn)移到受保護(hù)的內(nèi)核空間。

  Eidelberg 指出,以上改進(jìn)都是大的步驟,需要花一些時(shí)間來(lái)實(shí)施。同時(shí),用戶(hù)應(yīng)確保擁有強(qiáng)大的控制和檢測(cè)機(jī)制,防止攻擊者先行一步在端點(diǎn)系統(tǒng)上執(zhí)行惡意代碼。攻擊者要利用此漏洞,他們需要將惡意代碼發(fā)送到用戶(hù)的系統(tǒng)中并執(zhí)行這些操作。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。