パロアルトネットワークスの拡張検出および応答 (XDR) ソフトウェアを独創的に悪用すると、攻撃者が悪意のあるマルチツールのように操作できるようになる可能性があります。
In 今週のBlack Hat Asiaでの説明会, SafeBreach のセキュリティ研究者であるシュムエル・コーエン氏は、同社の代表的な製品である Cortex 製品をリバース エンジニアリングして侵入しただけでなく、リバース シェルやランサムウェアを展開するためにそれを武器化した方法について説明しました。
その後、彼の悪用に関連した弱点は 1 つを除いてすべてパロアルトによって修正されました。他の同様の XDR ソリューションが同様の攻撃に対して脆弱かどうかは、まだ不明です。
サイバーセキュリティにおける悪魔の取引
特定の種類の広範囲にわたるセキュリティ ツールを使用する場合、避けられない悪魔の取引があります。これらのプラットフォームが機能するためには、システムの隅々まで高度な特権を備えた完全なアクセスが許可されている必要があります。
たとえば、実行するには リアルタイムの監視と脅威の検出 IT エコシステム全体にわたって、XDR は可能な限り最高の権限と、非常に機密性の高い情報へのアクセスを要求します。そして、おまけに、それは簡単には削除できません。コーエンにひねくれたアイデアを与えたのは、これらのプログラムが行使するこの巨大な力でした。
「私はこう考えました。EDR ソリューション自体をマルウェアに変えることができるだろうか?」コーエンはダーク・リーディングに語る。 「私なら、XDR が持つこれらすべてのものを利用して、ユーザーに対して使用したいと思います。」
研究対象として Cortex を選択した後、彼はそのさまざまなコンポーネントのリバース エンジニアリングを開始し、悪意のあるものとそうでないものをどのように定義するかを解明しようとしました。
プログラムが最も依存している一連の平文ファイルを発見したとき、電球が点灯しました。
XDR を悪に変える方法
「しかし、それらのルールは私のコンピューターの中にあるのです」とコーエン氏は考えました。 「手動で削除したらどうなるでしょうか?」
パロアルト社はすでにこのことを考えていたことが判明した。改ざん防止メカニズムにより、アキレス腱を除いて、ユーザーはこれらの貴重な Lua ファイルに触れることができなくなりました。これは、個々の Lua ファイルを名前で保護するのではなく、それらすべてをカプセル化するフォルダーを保護することで機能しました。したがって、必要なファイルに到達するために、ファイルに到達するために使用されるパスの方向を変更し、そのメカニズムを完全にバイパスすることができれば、改ざん防止メカニズムを元に戻す必要はありません。
おそらく単純なショートカットでは十分ではなかったため、彼はハード リンクを使用しました。ハード リンクとは、ファイル名とハード ドライブに保存されている実際のデータを結び付けるコンピュータの方法です。これにより、彼は自分の新しいファイルを Lua ファイルと同じドライブ上の場所に指定できるようになりました。
「プログラムは、このファイルが元の Lua ファイルと同じハードディスク内の場所を指していることを認識していなかったので、元のコンテンツ ファイルを編集できました。」と彼は説明します。 「そこで、ファイルへのハードリンクを作成し、いくつかのルールを編集および削除しました。そして、それらを削除し、アプリに新しいルールを読み込ませる別の小さな操作を実行すると、脆弱なドライバーが読み込まれる可能性があることがわかりました。そしてそこから、コンピューター全体が私のものになりました。」
概念実証攻撃を完全に制御した後、コーエン氏は次のように回想します。「最初に行ったのは、XDR の保護パスワードを変更して、削除できないようにすることでした。また、サーバーへの通信もブロックしました。」
一方、「すべてがうまくいっているようだ。悪意のある行為をユーザーから隠すことができます。阻止されるべきアクションであっても、XDR は通知を提供しません。エンドポイント ユーザーには、すべてが正常であることを示す緑色のマークが表示されますが、その下ではマルウェアが実行されています。」
彼が実行することにしたマルウェアは、まずリバース シェルで、ターゲットのマシンの完全な制御を可能にしました。その後、彼はプログラムのすぐ下でランサムウェアの展開に成功しました。
パロアルトができなかった修正
パロアルトネットワークスはコーエン氏の研究を受け入れ、彼と緊密に協力してエクスプロイトを理解し、修正プログラムを開発しました。
しかし、彼の攻撃チェーンには 1 つの脆弱性があったため、彼らはそのままにすることを選択しました。それは、Cortex の Lua ファイルは、その非常に機密性の高い性質にもかかわらず、まったく暗号化されておらず、完全に平文で保存されているという事実です。
それは憂慮すべきことのように思えますが、現実には、暗号化は攻撃者にとってあまり抑止力にならないため、この問題について話し合った後、彼とセキュリティ会社は暗号化を変更する必要がないことに同意しました。彼は次のように述べています。「XDR は最終的に何をすべきかを理解する必要があります。そのため、暗号化されている場合でも、動作中のある時点で、それらのファイルを読み取るために復号化する必要があります。そのため、攻撃者はファイルの内容を捕捉することができます。これらのファイルを読み取るにはもう 1 ステップ必要ですが、それでも読み取ることができます。」
同氏はまた、他の XDR プラットフォームも同様の攻撃を受けやすい可能性があると述べています。
「他の XDR ではこれを別の方法で実装する可能性があります」と彼は言います。 「おそらくファイルは暗号化されるでしょう。しかし、彼らが何をしようと、私はいつでもそれを回避することができます。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware