A Palo Alto Networks kiterjesztett észlelési és válaszadási (XDR) szoftverének kreatív kiaknázása lehetővé tette volna a támadók számára, hogy rosszindulatú multifunkciós eszközként bábozzák be.

In a briefing at Black Hat Asia this week, Shmuel Cohen, a SafeBreach biztonsági kutatója leírta, hogy nemcsak visszafejtette és feltörte a cég jellegzetes Cortex-termékét, hanem fegyveresen is használta a fordított héj és zsarolóprogramok telepítését.

Palo Alto azóta egy kivételével minden gyengeséget kijavított, ami a kihasználásával kapcsolatos. Egyelőre nem világos, hogy más, hasonló XDR-megoldások sebezhetők-e hasonló támadásokkal szemben.

Ördögi alku a kiberbiztonságban

Megkerülhetetlen ördögi alku van, ha bizonyos fajta nagy horderejű biztonsági eszközökről van szó. Ahhoz, hogy ezek a platformok elvégezhessék a munkájukat, kiemelten kiváltságos carte blanche hozzáférést kell biztosítani számukra a rendszer minden zugához.

Például előadni valós idejű megfigyelés és fenyegetésészlelés Az informatikai ökoszisztémákban az XDR a lehető legmagasabb engedélyeket és hozzáférést igényel a nagyon érzékeny információkhoz. És a rendszerindításhoz nem lehet könnyen eltávolítani. Ez a programok által birtokolt hatalmas erő inspirált Cohenben egy csavaros ötletet.

„Azt gondoltam magamban: Lehetséges lenne magát az EDR-megoldást rosszindulatú programmá alakítani?” Cohen elmondja a Dark Readingnek. "Elfogadnám ezeket a dolgokat, amelyek az XDR-ben vannak, és a felhasználó ellen használnám őket."

Miután kiválasztotta a laboratóriumi témát – a Cortexet – elkezdte a különböző összetevőinek visszafejtését, és megpróbálta kitalálni, hogyan határozza meg, mi rosszindulatú és mi nem.

Egy villanykörte bekapcsolt, amikor felfedezett egy sor egyszerű szöveges fájlt, amelyekre a program a legtöbbnél jobban támaszkodott.

Hogyan lehet az XDR Evil-t fordítani

„De ezek a szabályok a számítógépemben vannak” – gondolta Cohen. "Mi történne, ha kézzel eltávolítanám őket?"

Kiderült, hogy Palo Alto már gondolt erre. A manipuláció elleni mechanizmus megakadályozta, hogy a felhasználók hozzáérjenek ezekhez az értékes Lua fájlokhoz – kivéve, hogy a mechanizmus Achilles-sarka volt. Úgy működött, hogy nem minden egyes Lua-fájlt védett név szerint, hanem az összeset tartalmazó mappát. Ahhoz, hogy elérje a kívánt fájlokat, nem kellene visszavonnia a manipuláció elleni mechanizmust, ha csak át tudná irányítani az elérési utat, és teljesen megkerülheti a mechanizmust.

Egy egyszerű parancsikon valószínűleg nem lett volna elegendő, ezért kemény hivatkozást használt: a számítógép módszerét, amellyel egy fájlnevet kapcsolt össze a merevlemezen tárolt tényleges adatokkal. Ez lehetővé tette számára, hogy a saját új fájlját ugyanarra a helyre irányítsa a meghajtón, mint a Lua fájlokat.

„A program nem tudta, hogy ez a fájl ugyanarra a helyre mutat a merevlemezen, mint az eredeti Lua-fájl, és ez lehetővé tette az eredeti tartalomfájl szerkesztését” – magyarázza. „Tehát létrehoztam egy kemény hivatkozást a fájlokhoz, szerkesztettem és eltávolítottam néhány szabályt. És láttam, hogy amint eltávolítottam őket – és megtettem egy másik apróságot, ami miatt az alkalmazás új szabályokat töltött be –, be tudok tölteni egy sebezhető illesztőprogramot. És onnantól az egész számítógép az enyém volt."

Miután teljesen átvette az irányítást a koncepciós támadásban, Cohen így emlékszik vissza: „Az első lépésem az volt, hogy megváltoztattam a védelmi jelszót az XDR-en, hogy ne lehessen eltávolítani. Ezenkívül blokkoltam minden kommunikációt a szervereivel.”

Eközben „Úgy tűnik, minden működik. El tudom rejteni a rosszindulatú tevékenységeket a felhasználó elől. Az XDR még olyan művelet esetén sem ad értesítést, amelyet megakadályoztak volna. A végpont felhasználója zöld jeleket fog látni, amelyek azt jelzik, hogy minden rendben van, miközben alatta a rosszindulatú programomat futtatom.

A rosszindulatú program, amelyet úgy döntött, hogy futtat, először is egy fordított héj volt, amely lehetővé tette a megcélzott gép teljes ellenőrzését. Aztán sikeresen telepítette a ransomware-t, közvetlenül a program orra alá.

A javítás Palo Alto nem sikerült

A Palo Alto Networks fogékony volt Cohen kutatásaira, szorosan együttműködve vele, hogy megértsék a kizsákmányolást és kidolgozzák a javításokat.

A támadási láncban azonban volt egy sebezhetőség, amelyet úgy döntöttek, hogy a jelenlegi állapotában hagynak: az a tény, hogy a Cortex Lua fájljait teljes egészében egyszerű szövegként tárolják, titkosítás nélkül, rendkívül érzékeny természetük ellenére.

Ez aggasztónak tűnik, de a valóság az, hogy a titkosítás nem nagyon fogja elrettenteni a támadókat, így az ügy megbeszélése után a biztonsági céggel egyetértettek abban, hogy ezen nem kell változtatni. Ahogy megjegyzi: „Az XDR-nek végül meg kell értenie, mit kell tennie. Tehát még ha titkosítva is van, működése egy bizonyos pontján vissza kell fejtenie ezeket a fájlokat, hogy elolvashassa őket. Így a támadók egyszerűen elkaphatják a fájlok tartalmát. Még egy lépés lenne, hogy elolvassam ezeket a fájlokat, de még mindig el tudom olvasni őket.

Azt is mondja, hogy más XDR platformok valószínűleg ki vannak téve ugyanilyen típusú támadásoknak.

„Más XDR-ek ezt másképp fogják megvalósítani” – mondja. „Talán a fájlok titkosítva lesznek. De nem számít, mit fognak tenni, mindig megkerülhetem.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware