ការកេងប្រវ័ញ្ចប្រកបដោយភាពច្នៃប្រឌិតនៃកម្មវិធីពង្រីកការរកឃើញ និងការឆ្លើយតប (XDR) របស់ Palo Alto Networks អាចធ្វើឱ្យអ្នកវាយប្រហារអាចបង្កើតវាដូចជាឧបករណ៍ពហុព្យាបាទ។

In សន្និសីទសារព័ត៌មាននៅ Black Hat Asia សប្តាហ៍នេះ។លោក Shmuel Cohen អ្នកស្រាវជ្រាវសន្តិសុខនៅ SafeBreach បានពិពណ៌នាអំពីរបៀបដែលគាត់មិនត្រឹមតែធ្វើវិស្វកម្មបញ្ច្រាស និងបំបែកចូលទៅក្នុងផលិតផល Cortex ហត្ថលេខារបស់ក្រុមហ៊ុនប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបានបំពាក់អាវុធដើម្បីដាក់ពង្រាយសែលបញ្ច្រាស និង ransomware ផងដែរ។

ភាពទន់ខ្សោយទាំងអស់ដែលទាក់ទងនឹងការកេងប្រវ័ញ្ចរបស់គាត់ត្រូវបានជួសជុលដោយ Palo Alto តាំងពីពេលនោះមក។ ថាតើដំណោះស្រាយ XDR ស្រដៀងគ្នាផ្សេងទៀត ងាយរងការវាយប្រហារស្រដៀងគ្នានេះ មិនទាន់ច្បាស់នៅឡើយទេ។

A Devil's Bargain in Cybersecurity

មានការចរចាររបស់អារក្សដែលមិនអាចគេចផុតបាននៅពេលនិយាយអំពីការប្រើប្រាស់ឧបករណ៍សុវត្ថិភាពមួយចំនួនដែលមានចម្ងាយឆ្ងាយ។ ដើម្បីឱ្យវេទិកាទាំងនេះអាចបំពេញការងាររបស់ពួកគេបាន ពួកគេត្រូវតែទទួលបានសិទ្ធិខ្ពស់ក្នុងការចូលប្រើ carte blanche គ្រប់កន្លែងទាំងអស់នៅក្នុងប្រព័ន្ធមួយ។

ឧទាហរណ៍ដើម្បីអនុវត្ត ការត្រួតពិនិត្យពេលវេលាជាក់ស្តែង និងការរកឃើញការគំរាមកំហែង នៅទូទាំងប្រព័ន្ធអេកូឡូស៊ី IT XDR ទាមទារការអនុញ្ញាតខ្ពស់បំផុតដែលអាចមាន ហើយអាចចូលប្រើព័ត៌មានរសើបខ្លាំង។ ហើយ​ដើម្បី​ចាប់ផ្ដើម វា​មិន​អាច​ត្រូវ​បាន​លុប​ចេញ​ដោយ​ងាយ​នោះ​ទេ។ វាគឺជាថាមពលដ៏ធំសម្បើមនេះ ដែលគ្រប់គ្រងដោយកម្មវិធីទាំងនេះ ដែលបានបំផុសគំនិតនៅក្នុង Cohen នូវគំនិតខុសឆ្គងមួយ។

"ខ្ញុំបានគិតខ្លួនឯងថា តើវាអាចទៅរួចទេក្នុងការប្រែក្លាយដំណោះស្រាយ EDR ទៅជាមេរោគ?" Cohen ប្រាប់ Dark Reading ។ "ខ្ញុំនឹងយករបស់ទាំងអស់នេះដែល XDR មាន ហើយប្រើវាប្រឆាំងនឹងអ្នកប្រើប្រាស់។"

បន្ទាប់ពីជ្រើសរើសមុខវិជ្ជាមន្ទីរពិសោធន៍ - Cortex - គាត់បានចាប់ផ្តើមវិស្វកម្មបញ្ច្រាសសមាសធាតុផ្សេងៗរបស់វា ដោយព្យាយាមរកឱ្យឃើញពីរបៀបដែលវាកំណត់នូវអ្វីដែលជា និងមិនព្យាបាទ។

អំពូលភ្លើងបានបើកនៅពេលដែលគាត់បានរកឃើញស៊េរីនៃឯកសារអត្ថបទធម្មតាដែលកម្មវិធីពឹងផ្អែកលើច្រើនជាងភាគច្រើន។

របៀបបង្វែរ XDR Evil

Cohen គិតថា "ប៉ុន្តែច្បាប់ទាំងនោះស្ថិតនៅក្នុងកុំព្យូទ័ររបស់ខ្ញុំ" ។ "តើនឹងមានអ្វីកើតឡើងប្រសិនបើខ្ញុំលុបពួកវាដោយដៃ?"

វាបានប្រែក្លាយថា Palo Alto បានគិតអំពីរឿងនេះរួចហើយ។ យន្តការប្រឆាំងនឹងការរំខានបានរារាំងអ្នកប្រើប្រាស់ណាមួយពីការប៉ះឯកសារ Lua ដ៏មានតម្លៃទាំងនោះ លើកលែងតែយន្តការមានកែងជើងរបស់ Achilles ។ វាដំណើរការដោយការការពារមិនមែនឯកសារ Lua នីមួយៗតាមឈ្មោះនោះទេ ប៉ុន្តែថតដែលបង្កប់ពួកវាទាំងអស់។ ដើម្បីទៅដល់ឯកសារដែលគាត់ចង់បាន នោះគាត់នឹងមិនត្រូវលុបចោលយន្តការប្រឆាំងការរំខាននោះទេ ប្រសិនបើគាត់គ្រាន់តែអាចតម្រង់ផ្លូវដែលធ្លាប់ប្រើដើម្បីទៅដល់ពួកគេ ហើយឆ្លងកាត់យន្តការទាំងស្រុង។

ផ្លូវកាត់ដ៏សាមញ្ញប្រហែលជាមិនគ្រប់គ្រាន់ទេ ដូច្នេះគាត់បានប្រើតំណរឹងមួយ៖ វិធីរបស់កុំព្យូទ័រក្នុងការភ្ជាប់ឈ្មោះឯកសារជាមួយនឹងទិន្នន័យពិតប្រាកដដែលផ្ទុកនៅលើថាសរឹង។ នេះអនុញ្ញាតឱ្យគាត់ចង្អុលឯកសារថ្មីរបស់គាត់ទៅទីតាំងដូចគ្នានៅលើដ្រាយដូចឯកសារ Lua ។

គាត់ពន្យល់ថា "កម្មវិធីនេះមិនបានដឹងថាឯកសារនេះកំពុងចង្អុលទៅទីតាំងដូចគ្នានៅក្នុងថាសរឹងដូចឯកសារ Lua ដើមទេ ហើយវាបានអនុញ្ញាតឱ្យខ្ញុំកែសម្រួលឯកសារមាតិកាដើម" ។ “ដូច្នេះ ខ្ញុំបានបង្កើតតំណភ្ជាប់រឹងទៅកាន់ឯកសារ កែសម្រួល និងលុបច្បាប់មួយចំនួន។ ហើយ​ខ្ញុំ​បាន​ឃើញ​ថា​ពេល​ដែល​ខ្ញុំ​បាន​ដក​ពួក​វា​ចេញ — និង​បាន​ធ្វើ​រឿង​តូច​មួយ​ផ្សេង​ទៀត​ដែល​ធ្វើ​ឱ្យ​កម្មវិធី​ដើម្បី​ផ្ទុក​ច្បាប់​ថ្មី — ខ្ញុំ​អាច​ផ្ទុក​កម្មវិធី​បញ្ជា​ដែល​ងាយ​រងគ្រោះ​។ ហើយពីទីនោះ កុំព្យូទ័រទាំងមូលគឺជារបស់ខ្ញុំ។

បន្ទាប់ពីបានគ្រប់គ្រងទាំងស្រុងនៅក្នុងភស្តុតាងនៃការវាយប្រហារគំនិតរបស់គាត់ Cohen បានរំលឹកថា "អ្វីដែលខ្ញុំបានធ្វើដំបូងគឺការផ្លាស់ប្តូរពាក្យសម្ងាត់ការពារនៅលើ XDR ដូច្នេះវាមិនអាចត្រូវបានដកចេញទេ។ ខ្ញុំ​ក៏​បាន​បិទ​ការ​ទំនាក់​ទំនង​ណា​មួយ​ទៅ​កាន់​ម៉ាស៊ីន​បម្រើ​របស់​ខ្លួន​ផង​ដែរ»។

ទន្ទឹមនឹងនេះដែរ “អ្វីៗហាក់ដូចជាដំណើរការ។ ខ្ញុំអាចលាក់សកម្មភាពព្យាបាទពីអ្នកប្រើប្រាស់។ សូម្បីតែសម្រាប់សកម្មភាពដែលនឹងត្រូវបានរារាំងក៏ដោយ XDR នឹងមិនផ្តល់ការជូនដំណឹងទេ។ អ្នក​ប្រើ​ចំណុច​បញ្ចប់​នឹង​ឃើញ​សញ្ញា​ពណ៌​បៃតង​ដែល​បង្ហាញ​ថា​អ្វី​គ្រប់​យ៉ាង​គឺ​មិន​អី​ទេ ខណៈ​នៅ​ខាងក្រោម​ខ្ញុំ​កំពុង​ដំណើរការ​មេរោគ​របស់​ខ្ញុំ។"

មេរោគដែលគាត់បានសម្រេចចិត្តដំណើរការដំបូងគឺសែលបញ្ច្រាស ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពេញលេញលើម៉ាស៊ីនគោលដៅ។ បន្ទាប់មកគាត់បានដាក់ពង្រាយ ransomware ដោយជោគជ័យនៅក្រោមច្រមុះរបស់កម្មវិធី។

ការជួសជុល Palo Alto មិនបានធ្វើ

Palo Alto Networks ទទួលយកការស្រាវជ្រាវរបស់ Cohen ដោយធ្វើការយ៉ាងជិតស្និទ្ធជាមួយគាត់ដើម្បីយល់ពីការកេងប្រវ័ញ្ច និងបង្កើតការដោះស្រាយ

ទោះជាយ៉ាងណាក៏ដោយ មានភាពងាយរងគ្រោះមួយនៅក្នុងខ្សែសង្វាក់វាយប្រហាររបស់គាត់ ដែលពួកគេបានជ្រើសរើសចាកចេញដូចជា៖ ការពិតដែលថាឯកសារ Lua របស់ Cortex ត្រូវបានរក្សាទុកទាំងស្រុងជាអត្ថបទធម្មតា ដោយគ្មានការអ៊ិនគ្រីបអ្វីទាំងអស់ ទោះបីជាមានលក្ខណៈរសើបខ្លាំងក៏ដោយ។

វាហាក់ដូចជាគួរឱ្យព្រួយបារម្ភ ប៉ុន្តែការពិតគឺថា ការអ៊ិនគ្រីបនឹងមិនមានការរារាំងច្រើនសម្រាប់អ្នកវាយប្រហារនោះទេ ដូច្នេះបន្ទាប់ពីពិភាក្សាអំពីបញ្ហានេះ គាត់ និងក្រុមហ៊ុនសន្តិសុខបានព្រមព្រៀងគ្នាថា ពួកគេមិនចាំបាច់ផ្លាស់ប្តូរវានោះទេ។ ដូចដែលគាត់បានកត់សម្គាល់ " XDR នៅទីបំផុតត្រូវយល់ពីអ្វីដែលត្រូវធ្វើ។ ដូច្នេះ ទោះបីជាវាត្រូវបានអ៊ិនគ្រីបក៏ដោយ នៅចំណុចខ្លះក្នុងប្រតិបត្តិការរបស់វា វានឹងត្រូវការឌិគ្រីបឯកសារទាំងនោះ ដើម្បីអានពួកវា។ ដូច្នេះ អ្នកវាយប្រហារអាចចាប់បានមាតិកានៃឯកសារនៅពេលនោះ។ វា​នឹង​ជា​ជំហាន​មួយ​ទៀត​សម្រាប់​ខ្ញុំ​ក្នុង​ការ​អាន​ឯកសារ​ទាំង​នោះ ប៉ុន្តែ​ខ្ញុំ​នៅ​តែ​អាច​អាន​វា​បាន»។

គាត់ក៏និយាយផងដែរថាវេទិកា XDR ផ្សេងទៀតទំនងជាងាយទទួលរងការវាយប្រហារដូចគ្នា។

គាត់និយាយថា "XDRs ផ្សេងទៀតនឹងអនុវត្តវាខុសគ្នា ប្រហែលជា" ។ "ប្រហែលជាឯកសារនឹងត្រូវបានអ៊ិនគ្រីប។ ប៉ុន្តែ ទោះ​ជា​គេ​នឹង​ធ្វើ​យ៉ាង​ណា​ក៏​ដោយ ខ្ញុំ​អាច​ជៀស​វាង​បាន​ជានិច្ច»។

• SEO ដែលដំណើរការដោយមាតិកា និងការចែកចាយ PR ។ ទទួលបានការពង្រីកថ្ងៃនេះ។
• PlatoData.Network Vertical Generative Ai. ផ្តល់អំណាចដល់ខ្លួនអ្នក។ ចូលប្រើទីនេះ។
• PlatoAiStream Web3 Intelligence ។ ចំណេះដឹងត្រូវបានពង្រីក។ ចូលប្រើទីនេះ។
• ផ្លាតូអេសជី។ កាបូន CleanTech, ថាមពល, បរិស្ថាន, ពន្លឺព្រះអាទិត្យ ការគ្រប់គ្រងកាកសំណល់។ ចូលប្រើទីនេះ។
• ផ្លាតូសុខភាព។ ជីវបច្ចេកវិទ្យា និង ភាពវៃឆ្លាត សាកល្បងគ្លីនិក។ ចូលប្រើទីនេះ។
• ប្រភព: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware