Quash EDR/XDR exploits ezekkel az ellenintézkedésekkel

2023 elején egy "" nevű felhasználókémfiú” népszerűsített egy eszközt a végponti védelem elkerülésére a Windows operációs rendszeren az orosz nyelvű Ramp fórumon keresztül. A „Terminator” című videóban bemutatott szoftver állítólag bármilyen végpont-észlelési és válaszadási (EDR) és kiterjesztett észlelési és válaszadási (XDR) platformot leállíthat.

Ez a fajta technika állandó kockázatnak teszi ki a szervezeteket – a kisvállalkozásoktól a szolgáltatókig és vállalkozásokig. A Lumu's szerint az EDR és XDR megoldások döntő szerepet játszanak a fenyegetések azonosításában és mérséklésében, de ma már talán a leggyakrabban megkerült kiberbiztonsági eszközök a rossz szereplők számára. 2023 Ransomware Flashcard.

Ha megértik, hogyan működnek a zsarolóvírusok és az olyan all-in-one EDR/XDR-gyilkosok, mint a Terminator, a szervezetek jobban fel tudnak készülni az ilyen alattomos fenyegetések elleni védekezésre.

CPL és DLL oldalsó betöltés

Eredetileg a Microsoft Windows operációs rendszer Vezérlőpultján található eszközök gyors eléréséhez készült CPL-fájlok a rossz szereplők számára a rosszindulatú szoftverek elrejtésének megfelelő helyévé váltak. A dinamikus hivatkozási könyvtár (DLL) oldalbetöltési technikája lehetővé teszi a támadók számára, hogy rávegyenek egy alkalmazást arra, hogy hitelesek helyett hamisított DLL-fájlokat töltsenek be, amelyeket általában több program között egyidejűleg megosztott adatokhoz használnak.

DLL oldalsó betöltési támadás végrehajtásához a támadó a Microsoft alkalmazás DLL-keresési sorrendjét kihasználva rávesz egy Windows-alkalmazást, hogy betöltsön egy káros DLL-fájlt. Ha egy legitim DLL-t rosszindulatúra cserél, hogy egy alkalmazás betöltse azt, a támadó kódja megfertőzi a teljes célrendszert.

Kódbefecskendezés

A támadók gyakran kódbefecskendezést használnak arra, hogy rosszindulatú kódot szúrjanak be egy legitim alkalmazásba vagy folyamatba, ami segít elkerülni az EDR- vagy EPP-rendszerek észlelését. Egy másik élő folyamat címterében tetszőleges kód végrehajtásával a rosszindulatú kód elrejtőzhet egy legitim folyamat alatt, ami megnehezíti a biztonsági termékek azonosítását.

A kódbefecskendezés egyik népszerű módszere a folyamatürítés, amelynek során a támadók felfüggesztett állapotban hoznak létre új folyamatot a Windows API CreateProcess() funkciójával. A folyamat ezután „kiürül” azáltal, hogy a ZwUnmapViewOfSection() vagy az NtUnmapViewOfSection Windows API függvényekkel eltávolítja a legitim bináris memórialapjait az új folyamat címteréből, így az új folyamat üres címteret hagy.

Userland API Hooking

Az API hooking egy általánosan alkalmazott technika, amely figyeli a folyamatok végrehajtását és észleli a változásokat. A „hooking” lényegében az alkalmazások közötti API-hívások elfogása. A Windows megkönnyíti az alkalmazások összekapcsolását azáltal, hogy eszközöket biztosít a fejlesztőknek az események, üzenetek és API-hívások lehallgatására, amelyeket általában „hookoknak” neveznek.

A támadók ezt a technikát kihasználva elfogják az API-hívásokat, és manipulálják azokat céljaik kiszolgálása érdekében. A Userland hooking az egyik ilyen módszer, amelyet a támadók alkalmaznak az alkalmazások által a felhasználói területen belüli rendszerkönyvtárak vagy API-k számára indított funkcióhívások lehallgatására. A függvényhívások saját kódjukra való átirányításával a támadók manipulálhatják az alkalmazás viselkedését, hogy elősegítsék rosszindulatú szándékaikat.

ChatGPT

Egy nemrég létrehozott BlackMamba nevű polimorf keylogger parancs- és vezérlési (C2) infrastruktúra nélkül módosíthatja a kódot. Szerzőjének elsődleges célja az volt, hogy kulcsfontosságú elveken alapuló kódot fejlesszen ki. A kezdeti elv minden rosszindulatú C2 infrastruktúra kiküszöbölését és kifinomult automatizálással való helyettesítését jelentette, amely biztonságosan továbbítja a releváns adatokat a támadónak egy ártalmatlan kommunikációs csatornán keresztül. A másik elv a tőkeáttétel körül forgott generatív AI eszköz kód létrehozásához képes rosszindulatú programváltozatokat előállítani a kód folyamatos módosításával, hogy elkerülje az EDR-ek által használt észlelési algoritmusokat.

Hogyan biztosítható az általános kiberellenállóság, beleértve az EDR/XDR-t is

Az EDR/XDR technológiák zsarolóvírus-kizsákmányolása elleni hatékony küzdelem érdekében a szervezeteknek robusztus biztonsági intézkedéseket kell bevezetniük, beleértve a folyamatos fenyegetésfelderítést és -elemzést, a mélyreható védelmet és az incidensekre adott válaszok tervezését.

Folyamatos fenyegetés-felderítés és elemzés. A szervezeteknek konfigurálniuk kell az EDR/XDR-megoldásokat a kritikus végpontok hatékony figyelése érdekében; azonban a vállalatoknak tisztában kell lenniük azzal, hogy támadási felületük valószínűleg örökölt eszközökből épül fel, amelyekkel az EDR-ügynök nem kompatibilis, vagy egyszerű IoT/OT-eszközökből, amelyek nem teszik lehetővé EDR/XDR-ügynök telepítését. A hálózat kitekintési pontként való felhasználása a fenyegetés szereplőinek azonosítására segíthet a vállalatoknak abban, hogy az EDR/XDR-megoldások mellett további fenyegetésészlelési réteget biztosítsanak. A hálózatészlelés és -válasz (NDR) vagy a hálózatelemző és láthatósági (NAV) eszközök betekintést engednek a szervezeteknek a hálózaton áthaladó rosszindulatú forgalomba, nem csak a végpontokon láthatókba.

A szervezeteknek emellett ki kell használniuk a fenyegetésekkel kapcsolatos intelligencia-hírcsatornákat, és rendszeresen elemezniük kell a feltörekvő trendeket, hogy megelőzzék a ransomware-fenyegetések fejlődését. Ez segít proaktívan azonosítani az új ransomware-változatokat és taktikákat, biztosítva az időben történő észlelést és reagálást. Az iparág-specifikus információmegosztó platformokkal való együttműködés értékes betekintést nyújthat a legújabb támadási technikákba és a kompromisszum mutatóiba.

A legújabb fenyegetés-hírcsatornák és intelligencia integrálása a végponti biztonsággal robusztusabb EDR/XDR rendszert is lehetővé tesz.

Védekezés mélységben. A fent említett Terminator eszköz az ún "hozza a saját sebezhető illesztőprogramját (BYOVD)" hogy kihasználja a legális Zemana kártevő-elhárító illesztőprogramokat. A hangsúly annak észlelésén volt, hogy a sérülékeny Zemana illesztőprogramokat mikor írják lemezre vagy töltik be a folyamatok. Mivel a Zemana legitim eszköz, nem lehet letiltani ezen illesztőprogramok létrehozását vagy betöltését. A BYOVD támadások és a sebezhető Zemana anti-malware illesztőprogramok használata nem újdonság, ezért fontos, hogy rendszeresen elemezze az ehhez hasonló újonnan megjelenő fenyegetéseket, és felmérje, hogy a jelenlegi kiberbiztonsági verem és folyamatok alkalmasak lesznek-e a legújabb fenyegetések észlelésére és blokkolására.

A. Elfogadása mélyreható védekezés többrétegű biztonsági ellenőrzésekkel mérsékli az esetleges jogsértések hatását. Ez magában foglalja a hálózati szegmentálás, a tűzfalszabályok, a behatolásgátló rendszerek és a rosszindulatú programok elleni megoldások telepítését.

Az incidensek elhárításának tervezése. Átfogó fejlesztése incidensreagálási terv kifejezetten a ransomware incidensekre szabott. Ez előre meghatározott lépéseket tartalmaz a fertőzött rendszerek elkülönítésére, a terjedés leküzdésére és a kritikus adatok biztonságos biztonsági másolatokból történő visszaállítására. Rendszeresen az incidensreagálási terv tesztelése asztali gyakorlatokon és szimulációkon keresztül biztosítja a felkészültséget a ransomware támadásokkal szemben.

Biztonságos kiberellenállás az EDR/XDR-n túl

A zsarolóvírus-kezelők és a rossz szereplők továbbra is finomítják taktikájukat azáltal, hogy kijátszási technikákat alkalmaznak, megcélozzák a sebezhetőségeket, és letiltják a felügyeleti képességeket, hogy megkerüljék a biztonsági technológiákat olyan eszközökkel, mint a Terminator.

Az EDR/XDR technológiák egy robusztus, dinamikus kiberbiztonsági verem egyik elemét alkotják. A folyamatos fenyegetettségi intelligenciával, a mélyreható védelemmel és a gondos incidensreagálási tervezéssel az EDR/XDR eszközök robusztusabbá válnak, miközben a teljes kiberbiztonsági művelet megerősödik. Ezen óvintézkedések betartásával a végponti védelem továbbra is kulcsszerepet játszhat rendszereik és adataik védelmében a rosszindulatú támadások pusztító hatásaitól.

SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
Forrás: https://www.darkreading.com/dr-tech/quash-edr-xdr-exploits-with-these-countermeasures

Generatív adatintelligencia

Quash EDR/XDR exploits ezekkel az ellenintézkedésekkel

CPL és DLL oldalsó betöltés

Kódbefecskendezés

Userland API Hooking

ChatGPT

Hogyan biztosítható az általános kiberellenállóság, beleértve az EDR/XDR-t is

Biztonságos kiberellenállás az EDR/XDR-n túl

Tech and Policy Collide: US TikTok Ban, Crypto Innovations, and the Quest for Compliance

Legislative Moves, Crypto Innovations, and Market Dynamics: A Deep Dive into Recent Developments in Technology and Finance

Legújabb intelligencia

Jogalkotási válaszút és kriptoőrület: Navigálás a TikTok amerikai tilalmi fenyegetése, a Robinhood mémtőzsdei fellendülése és a Bitcoin bizonytalan horizontja kapcsán

Törvényhozói szigorítás: Az amerikai törvényhozók elfogadták a TikTok betiltásának lehetőségét tartalmazó törvényjavaslatot az adatvédelmi félelmek közepette

Navigálás a kriptoőrületben és a szabályozási kereszteződésekben: a TikTok tiltástól a Bitcoin boomokig

A potenciális TikTok tiltástól a kriptográfiai hullámig: Navigáció a digitális trendek és szabályozások összetett táján

Jogalkotási válaszút: Az Egyesült Államok közelgő döntése a TikTok jövőjéről egy kripto-alapú robinhood rally és a globális Bitcoin dinamika közepette

Jogalkotási bizonytalanság: Az Egyesült Államok törvényjavaslata a TikTok tilalmáról és a közösségi média szabályozásának jövőjéről