كان من الممكن أن يكون الاستغلال الإبداعي لبرنامج الكشف والاستجابة الموسع (XDR) الخاص بشركة Palo Alto Networks قد سمح للمهاجمين بتحريكه كأداة ضارة متعددة.
In إحاطة في Black Hat Asia هذا الأسبوع، وصف شموئيل كوهين، الباحث الأمني في SafeBreach، كيف أنه لم يقم فقط بإجراء هندسة عكسية واختراق منتج Cortex المميز للشركة، بل قام أيضًا بتسليحه لنشر قذيفة عكسية وبرامج فدية.
تم إصلاح جميع نقاط الضعف المرتبطة باستغلاله باستثناء واحدة بواسطة بالو ألتو. ومن غير الواضح حتى الآن ما إذا كانت حلول XDR المماثلة الأخرى عرضة لهجوم مماثل.
صفقة الشيطان في الأمن السيبراني
هناك صفقة شيطانية لا مفر منها عندما يتعلق الأمر باستخدام أنواع معينة من الأدوات الأمنية بعيدة المدى. لكي تتمكن هذه المنصات من القيام بعملها، يجب أن يتم منحها امتيازات عالية للوصول إلى كل زاوية وركن في النظام.
على سبيل المثال، لأداء المراقبة في الوقت الحقيقي واكتشاف التهديدات عبر الأنظمة البيئية لتكنولوجيا المعلومات، يتطلب XDR أعلى الأذونات الممكنة، والوصول إلى معلومات حساسة للغاية. وللتمهيد، لا يمكن إزالته بسهولة. لقد كانت هذه القوة الهائلة التي تتمتع بها هذه البرامج هي التي ألهمت كوهين بفكرة ملتوية.
"قلت لنفسي: هل من الممكن تحويل حل EDR نفسه إلى برامج ضارة؟" كوهين يقول القراءة المظلمة. "سأأخذ كل هذه الأشياء التي يمتلكها XDR وأستخدمها ضد المستخدم."
وبعد اختيار مادة مختبرية — Cortex — بدأ في إجراء هندسة عكسية لمكوناتها المختلفة، محاولًا اكتشاف كيفية تعريفها لما هو ضار وما هو غير ضار.
تم تشغيل المصباح عندما اكتشف سلسلة من ملفات النص العادي التي اعتمد عليها البرنامج أكثر من معظم الملفات.
كيفية تحويل XDR الشر
"لكن هذه القواعد موجودة داخل جهاز الكمبيوتر الخاص بي"، فكر كوهين. "ماذا سيحدث إذا قمت بإزالتها يدويًا؟"
اتضح أن بالو ألتو كان يفكر في هذا بالفعل. منعت آلية مكافحة التلاعب أي مستخدم من لمس ملفات Lua الثمينة تلك - باستثناء الآلية التي كانت بها نقطة ضعف. لقد نجح الأمر من خلال حماية ليس كل ملف Lua فرديًا بالاسم، ولكن المجلد الذي يحتوي على كل منهم. للوصول إلى الملفات التي يريدها، لن يضطر إلى التراجع عن آلية مكافحة التلاعب، إذا كان بإمكانه فقط إعادة توجيه المسار المستخدم للوصول إليها وتجاوز الآلية تمامًا.
ربما لم يكن الاختصار البسيط كافيا، لذلك استخدم رابطا ثابتا: طريقة الكمبيوتر لربط اسم الملف بالبيانات الفعلية المخزنة على القرص الصلب. وقد سمح له ذلك بتوجيه ملفه الجديد إلى نفس الموقع على محرك الأقراص مثل ملفات Lua.
ويوضح قائلاً: "لم يكن البرنامج على علم بأن هذا الملف كان يشير إلى نفس الموقع في القرص الصلب مثل ملف Lua الأصلي، وهذا سمح لي بتحرير ملف المحتوى الأصلي". "لذلك قمت بإنشاء رابط ثابت للملفات، وقمت بتحرير بعض القواعد وإزالتها. ورأيت أنه عندما قمت بإزالتها - وفعلت شيئًا صغيرًا آخر أدى إلى تحميل التطبيق لقواعد جديدة - كان بإمكاني تحميل برنامج تشغيل ضعيف. ومن هناك، أصبح الكمبيوتر بأكمله ملكي”.
بعد توليه السيطرة الكاملة على هجوم إثبات المفهوم، يتذكر كوهين قائلاً: "ما فعلته أولاً هو تغيير كلمة مرور الحماية على XDR بحيث لا يمكن إزالتها. لقد قمت أيضًا بحظر أي اتصال بخوادمها.
وفي الوقت نفسه، "يبدو أن كل شيء يسير على ما يرام. يمكنني إخفاء الأنشطة الضارة عن المستخدم. حتى بالنسبة للإجراء الذي كان من الممكن منعه، لن يقدم XDR إشعارًا. سيرى مستخدم نقطة النهاية العلامات الخضراء التي تشير إلى أن كل شيء على ما يرام، بينما أقوم بتشغيل البرامج الضارة الموجودة أسفلها.
كانت البرمجيات الخبيثة التي قرر تشغيلها، في البداية، عبارة عن غلاف عكسي، مما يتيح التحكم الكامل في الجهاز المستهدف. ثم نجح في نشر برامج الفدية، مباشرة تحت أنظار البرنامج.
الإصلاح الذي لم يتم إنجازه بالو ألتو
وقد تقبلت شركة Palo Alto Networks أبحاث كوهين، وعملت معه بشكل وثيق لفهم الاستغلال وتطوير الإصلاحات.
ومع ذلك، كانت هناك ثغرة أمنية واحدة في سلسلة هجماته، فاختاروا تركها كما هي: حقيقة أن ملفات Lua الخاصة بـ Cortex مخزنة بالكامل في نص عادي، بدون تشفير على الإطلاق، على الرغم من طبيعتها الحساسة للغاية.
يبدو هذا مثيرًا للقلق، لكن الحقيقة هي أن التشفير لن يكون رادعًا كبيرًا للمهاجمين، لذلك بعد مناقشة الأمر، اتفق هو والشركة الأمنية على أنهم لا يحتاجون إلى تغيير ذلك. وكما يشير، "يحتاج XDR في النهاية إلى فهم ما يجب فعله. لذلك، حتى لو كانت مشفرة، فسوف تحتاج في مرحلة ما من عملها إلى فك تشفير تلك الملفات لقراءتها. لذلك يمكن للمهاجمين التقاط محتوى الملفات بعد ذلك. ستكون خطوة أخرى بالنسبة لي لقراءة تلك الملفات، لكن لا يزال بإمكاني قراءتها.
ويقول أيضًا إن منصات XDR الأخرى من المحتمل أن تكون عرضة لنفس النوع من الهجوم.
يقول: "ربما ستنفذ XDRs الأخرى هذا الأمر بشكل مختلف". "ربما سيتم تشفير الملفات. ولكن بغض النظر عما سيفعلونه، يمكنني دائمًا تجاوزه.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware
