近日,安全研究員Shmuel Cohen在Black Hat Asia大會上展示了如何用逆向工程破解Palo Alto Networks的Cortex XDR安全軟件,并將其轉換為隱蔽持久的“超級惡意工具“,用于部署后門程序和勒索軟件。這一發現凸顯了EDR/XDR等強大安全工具的潛在風險,也為網絡安全防御敲響了警鐘。
XDR(Extended Detection and Response)是一種集成了威脅檢測、調查和響應功能的安全解決方案,能夠為企業提供全面的安全防護。然而,強大的功能也伴隨著潛在的風險。Shmuel Cohen的研究表明,EDR/XDR本身也可能成為攻擊者的目標,被用來實施惡意攻擊。
Cohen通過逆向工程和分析Cortex XDR軟件,發現了一些可以被利用的漏洞。他利用這些漏洞,成功地繞過了Cortex XDR的安全機制(包括機器學習檢測模塊、行為模塊規避、實時預防規則以及防止文件篡改的過濾驅動程序保護)。
具體來說,Cohen做到以下幾件事:
- 修改了XDR的安全規則,使其無法檢測到他的惡意活動。
- 部署了后門程序,使他能遠程控制受感染的計算機。
- 植入了勒索軟件,向受害者索取贖金。
- 敏感用戶賬號泄露
- 在系統中長期駐留(無法從管理界面遠程刪除)
- 整機加密(FUD)
- 完整的LSASS內存轉儲
- 隱藏惡意活動通知
- 繞過XDR管理員密碼
- 全面利用XDR實施攻擊
Cohen指出,雖然Palo Alto Networks與其合作修復了漏洞并發布補丁程序,但其他XDR平臺也很可能存在類似的漏洞,容易受到攻擊。
Cohen的攻擊證明,即使是像Palo Alto Cortex XDR這樣的知名安全軟件也并非絕對安全。
安全專家指出,用戶部署使用功能強大的安全工具時,不可避免地存在“魔鬼交易“:為了讓這些安全工具完成工作,必須授予它們高級權限來訪問系統中的每個角落。
例如,為了跨IT系統執行實時監控和威脅檢測,XDR需要盡可能高的權限,訪問非常敏感的信息,而且啟動時不能被輕易刪除。
這意味著一旦攻擊者能夠利用安全軟件的漏洞,就可將其變成殺傷力極大的攻擊武器。因此,企業在部署EDR/XDR等安全解決方案時,需要提高警惕,加強安全管理,并定期進行安全評估和漏洞修復。
