Palo Alto Networksi laiendatud tuvastus- ja reageerimistarkvara (XDR) loominguline ärakasutamine oleks võinud võimaldada ründajatel seda pahatahtliku multitööriistana nukustada.
In briifing Black Hat Asias sel nädalal, SafeBreachi turvateadlane Shmuel Cohen kirjeldas, kuidas ta mitte ainult ei pöördprojekteerinud ja murdis sisse ettevõtte Cortexi toote, vaid ka relvastas selle, et juurutada pöördkesta ja lunavara.
Palo Alto on hiljem parandanud kõik tema ärakasutamisega seotud nõrkused peale ühe. Kas teised sarnased XDR-lahendused on sarnase rünnaku suhtes haavatavad, on veel ebaselge.
Küberturvalisuse kuradi sooduspakkumine
Teatud kaugeleulatuvate turvatööriistade kasutamisel on vältimatu kuratlik tehing. Et need platvormid saaksid oma tööd teha, peab neile olema tagatud kõrge privilegeeritud carte blanche juurdepääs süsteemi igale nurgale.
Näiteks esinema reaalajas jälgimine ja ohtude tuvastamine IT-ökosüsteemides nõuab XDR kõrgeimaid võimalikke õigusi ja juurdepääsu väga tundlikule teabele. Ja alglaadimiseks ei saa seda lihtsalt eemaldada. Just see nende programmide tohutu jõud inspireeris Cohenis keerulist ideed.
"Mõtlesin endamisi: kas EDR-i lahendust oleks võimalik ise pahavaraks muuta?" Cohen räägib Dark Readingile. "Ma võtaksin kõik need asjad, mis XDR-il on, ja kasutaksin neid kasutaja vastu."
Pärast laboriobjekti – Cortexi – valimist hakkas ta selle erinevaid komponente pöördprojekteerima, püüdes välja selgitada, kuidas see määratleb, mis on pahatahtlik ja mis mitte.
Lambipirn lülitus sisse, kui ta avastas rea lihttekstifaile, millele programm toetus rohkem kui enamikule.
Kuidas muuta XDR kurjaks
"Aga need reeglid on minu arvuti sees," arvas Cohen. "Mis juhtuks, kui ma need käsitsi eemaldaksin?"
Selgus, et Palo Alto oli sellele juba mõelnud. Rikkumisvastane mehhanism ei võimaldanud ühelgi kasutajal neid väärtuslikke Lua faile puudutada – välja arvatud juhul, kui mehhanismil oli Achilleuse kand. See töötas, kaitstes mitte iga üksikut Lua-faili nime järgi, vaid kausta, mis neid kõiki kapseldas. Soovitud failideni jõudmiseks ei peaks ta rikkumisvastast mehhanismi tühistama, kui ta saaks nendeni jõudmiseks kasutatud tee ümber suunata ja mehhanismist täielikult mööda minna.
Lihtsast otseteest poleks ilmselt piisanud, seetõttu kasutas ta kõva linki: arvuti viisi failinime ühendamiseks kõvakettale salvestatud tegelike andmetega. See võimaldas tal suunata oma uue faili draivi samasse asukohta, kuhu Lua failid.
"Programm ei teadnud, et see fail osutas kõvakettal samale asukohale kui algne Lua-fail, ja see võimaldas mul algset sisufaili redigeerida," selgitab ta. "Seega lõin failidele kõva lingi, redigeerisin ja eemaldasin mõned reeglid. Ja ma nägin, et kui ma need eemaldasin – ja tegin veel ühe väikese asja, mis pani rakenduse laadima uusi reegleid – võin laadida haavatava draiveri. Ja sealt edasi oli kogu arvuti minu päralt.
Olles võtnud täieliku kontrolli oma kontseptsiooni rünnaku tõestamise üle, meenutab Cohen: „Kõigepealt muutsin XDR-i kaitseparooli, nii et seda ei saaks eemaldada. Samuti blokeerisin igasuguse suhtluse selle serveritega.
Vahepeal: "Kõik näib toimivat. Saan varjata pahatahtlikke tegevusi kasutaja eest. Isegi toimingu puhul, mida oleks takistatud, ei anna XDR märguannet. Lõpp-punkti kasutaja näeb rohelisi märke, mis näitavad, et kõik on korras, samal ajal kui selle all käitan oma pahavara.
Pahavara, mille ta otsustas käivitada, oli esiteks vastupidine kest, mis võimaldas sihitud masina üle täielikku kontrolli. Seejärel juurutas ta edukalt lunavara otse programmi nina alla.
Parandus Palo Alto ei õnnestunud
Palo Alto Networks oli Coheni uurimistöö suhtes vastuvõtlik, tehes temaga tihedat koostööd, et mõista ärakasutamist ja töötada välja parandused.
Tema ründeahelas oli aga üks haavatavus, mille nad otsustasid jätta: tõsiasi, et Cortexi Lua-failid salvestatakse täiesti lihttekstina, ilma igasuguse krüptimiseta, hoolimata nende ülitundlikust olemusest.
See tundub murettekitav, kuid reaalsus on see, et krüpteerimine ei oleks ründajate jaoks kuigi heidutav, nii et pärast asja arutamist leppisid ta ja turvafirma kokku, et neil pole vaja seda muuta. Nagu ta märgib: "XDR peab lõpuks mõistma, mida teha. Nii et isegi kui see on krüpteeritud, peab see mingil hetkel oma töö käigus need failid nende lugemiseks dekrüpteerima. Seega võivad ründajad lihtsalt failide sisu kinni püüda. See oleks minu jaoks veel üks samm nende failide lugemiseks, kuid ma saan neid siiski lugeda.
Ta ütleb ka, et teised XDR-platvormid on tõenäoliselt vastuvõtlikud sama tüüpi rünnakutele.
"Teised XDR-id rakendavad seda võib-olla erinevalt, " ütleb ta. "Võib-olla krüpteeritakse failid. Kuid ükskõik, mida nad ka ei teeks, saan sellest alati mööda minna.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware
