Palo Alto Networksin XDR (Extended Detection and Response) -ohjelmiston luova hyödyntäminen olisi voinut antaa hyökkääjille mahdollisuuden tehdä sen haitallisena monityökaluna.
In tiedotustilaisuus Black Hat Asiassa tällä viikolla, Shmuel Cohen, SafeBreachin tietoturvatutkija, kuvaili, kuinka hän ei vain käännetty ja murtautunut yrityksen Cortex-tuotteeseen, vaan myös asettanut sen ottamaan käyttöön käänteisen kuoren ja lunnasohjelmat.
Palo Alto on sittemmin korjannut kaikki hänen hyväksikäyttöön liittyvät heikkoudet yhtä lukuun ottamatta. Vielä on epäselvää, ovatko muut samanlaiset XDR-ratkaisut alttiita samanlaiselle hyökkäykselle.
Paholaisen tarjous kyberturvallisuudesta
Tiettyjen kauaskantoisten tietoturvatyökalujen käytössä on väistämätön paholaisen kauppa. Jotta nämä alustat voivat tehdä työnsä, niille on myönnettävä erittäin etuoikeutettu carte blanche -käyttöoikeus järjestelmän jokaiseen nurkkaan.
Esimerkiksi esiintymään reaaliaikainen valvonta ja uhkien havaitseminen IT-ekosysteemeissä XDR vaatii korkeimpia mahdollisia käyttöoikeuksia ja pääsyä erittäin arkaluontoisiin tietoihin. Ja käynnistääksesi sitä ei voi helposti poistaa. Juuri tämä näiden ohjelmien käyttämä valtava voima inspiroi Cohenissa kieroutunutta ideaa.
"Ajattelin itsekseni: Olisiko mahdollista tehdä itse EDR-ratkaisusta haittaohjelma?" Cohen kertoo Dark Readingille. "Ottaisin kaikki nämä XDR:llä olevat asiat ja käyttäisin niitä käyttäjää vastaan."
Valittuaan laboratoriokohteen – Cortexin – hän aloitti sen eri osien käänteissuunnittelun yrittäen selvittää, miten se määrittelee, mikä on haitallista ja mikä ei.
Hehkulamppu syttyi, kun hän löysi sarjan selkotekstitiedostoja, joihin ohjelma luotti enemmän kuin useimmat.
Kuinka muuttaa XDR Evil
"Mutta nuo säännöt ovat minun tietokoneeni sisällä", Cohen ajatteli. "Mitä tapahtuisi, jos poistan ne manuaalisesti?"
Kävi ilmi, että Palo Alto oli ajatellut tätä jo. Peukaloinnin estomekanismi esti ketään käyttäjää koskettamasta arvokkaisiin Lua-tiedostoihin – paitsi että mekanismissa oli akilleen kantapää. Se toimi suojaamalla jokaista yksittäistä Lua-tiedostoa nimellä, vaan kansiota, joka kapseloi ne kaikki. Saavuttaakseen haluamansa tiedostot, hänen ei tarvitsisi kumota peukaloinnin estomekanismia, jos hän voisi vain suunnata uudelleen niiden saavuttamiseen käytetyn polun ja ohittaa mekanismin kokonaan.
Yksinkertainen pikakuvake ei luultavasti olisi riittänyt, joten hän käytti kovaa linkkiä: tietokoneen tapaa yhdistää tiedostonimi todellisiin kiintolevylle tallennettuihin tietoihin. Tämän ansiosta hän pystyi osoittamaan oman uuden tiedostonsa samaan asemaan asemassa kuin Lua-tiedostot.
"Ohjelma ei tiennyt, että tämä tiedosto osoitti samaan paikkaan kiintolevyllä kuin alkuperäinen Lua-tiedosto, ja tämä antoi minulle mahdollisuuden muokata alkuperäistä sisältötiedostoa", hän selittää. "Joten loin kiinteän linkin tiedostoihin, muokkasin ja poistin joitain sääntöjä. Ja huomasin, että kun poistin ne – ja tein toisen pienen asian, joka sai sovelluksen lataamaan uusia sääntöjä – pystyin lataamaan haavoittuvan ohjaimen. Ja sieltä lähtien koko tietokone oli minun."
Otettuaan täydellisen hallinnan konseptihyökkäykseen, Cohen muistelee: ”Tein ensin XDR:n suojasalasanan, jotta sitä ei voi poistaa. Estin myös kaiken viestinnän sen palvelimille."
Samaan aikaan "Kaikki näyttää toimivan. Pystyn piilottamaan haitalliset toiminnot käyttäjältä. XDR ei anna ilmoitusta edes toimista, joka olisi estetty. Päätepisteen käyttäjä näkee vihreät merkit, jotka osoittavat, että kaikki on kunnossa, kun taas alla käytän haittaohjelmaani."
Haittaohjelma, jonka hän päätti ajaa, oli ensinnäkin käänteinen kuori, joka mahdollisti kohteena olevan koneen täyden hallinnan. Sitten hän otti onnistuneesti käyttöön ransomwaren suoraan ohjelman nenän alle.
Korjaus Palo Alto ei tehnyt
Palo Alto Networks oli vastaanottavainen Cohenin tutkimukselle ja teki tiivistä yhteistyötä hänen kanssaan ymmärtääkseen hyväksikäyttöä ja kehittääkseen korjauksia.
Hänen hyökkäysketjussaan oli kuitenkin yksi haavoittuvuus, jonka he päättivät jättää ennalleen: se, että Cortexin Lua-tiedostot on tallennettu täysin selväkielisinä ilman minkäänlaista salausta huolimatta niiden erittäin herkästä luonteesta.
Se vaikuttaa hälyttävältä, mutta todellisuus on, että salaus ei olisi juurikaan pelote hyökkääjille, joten keskusteltuaan asiasta, hän ja turvayritys sopivat, ettei heidän tarvitse muuttaa sitä. Kuten hän huomauttaa, "XDR:n on lopulta ymmärrettävä, mitä tehdä. Joten vaikka se olisi salattu, sen on jossain vaiheessa toimintansa purettava näiden tiedostojen salaus voidakseen lukea ne. Joten hyökkääjät voisivat vain napata tiedostojen sisällön. Se olisi minulle yksi askel enemmän näiden tiedostojen lukemiseen, mutta voin silti lukea ne."
Hän sanoo myös, että muut XDR-alustat ovat todennäköisesti alttiita samanlaisille hyökkäyksille.
"Muut XDR:t toteuttavat tämän ehkä eri tavalla", hän sanoo. "Ehkä tiedostot salataan. Mutta riippumatta siitä, mitä he tekevät, voin aina ohittaa sen."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware
