Een creatieve exploitatie van de uitgebreide detectie- en responssoftware (XDR) van Palo Alto Networks had aanvallers in staat kunnen stellen deze als een kwaadaardige multitool te gebruiken.
In een briefing bij Black Hat Asia deze weekShmuel Cohen, beveiligingsonderzoeker bij SafeBreach, beschreef hoe hij niet alleen het kenmerkende Cortex-product van het bedrijf reverse-engineerde en kraakte, maar het ook bewapende om een reverse shell en ransomware in te zetten.
Op één na zijn alle zwakke punten die verband houden met zijn exploit inmiddels hersteld door Palo Alto. Of andere, vergelijkbare XDR-oplossingen kwetsbaar zijn voor een soortgelijke aanval is vooralsnog onduidelijk.
Een duivelskoopje op het gebied van cyberbeveiliging
Er is een onontkoombaar duivelskoopje als het gaat om het gebruik van bepaalde soorten verreikende beveiligingshulpmiddelen. Om deze platforms hun werk te laten doen, moeten ze zeer bevoorrechte carte blanche-toegang krijgen tot alle hoeken en gaten van een systeem.
Om op te treden bijvoorbeeld realtime monitoring en detectie van bedreigingen In alle IT-ecosystemen vereist XDR de hoogst mogelijke machtigingen en toegang tot zeer gevoelige informatie. En bovendien kan het niet gemakkelijk worden verwijderd. Het was deze enorme macht die deze programma's uitoefenden die Cohen tot een verwrongen idee inspireerde.
“Ik dacht bij mezelf: zou het mogelijk zijn om van een EDR-oplossing zelf malware te maken?” Cohen vertelt aan Dark Reading. "Ik zou al deze dingen die de XDR heeft, gebruiken en ze tegen de gebruiker gebruiken."
Nadat hij een laboratoriumonderwerp had gekozen – Cortex – begon hij de verschillende componenten ervan te reverse-engineeren, in een poging erachter te komen hoe dit definieerde wat wel en niet schadelijk is.
Er ging een lampje branden toen hij een reeks leesbare tekstbestanden ontdekte waar het programma meer dan de meeste op vertrouwde.
Hoe XDR Evil te veranderen
‘Maar die regels zitten in mijn computer,’ dacht Cohen. "Wat zou er gebeuren als ik ze handmatig zou verwijderen?"
Het bleek dat Palo Alto hier al aan had gedacht. Een anti-manipulatiemechanisme verhinderde dat een gebruiker deze kostbare Lua-bestanden aanraakte – behalve dat het mechanisme een achilleshiel had. Het werkte door niet elk afzonderlijk Lua-bestand op naam te beschermen, maar de map waarin ze allemaal waren ingekapseld. Om de bestanden te bereiken die hij wilde, zou hij het antimanipulatiemechanisme dus niet ongedaan hoeven te maken, als hij maar het pad kon heroriënteren dat werd gebruikt om ze te bereiken en het mechanisme helemaal kon omzeilen.
Een simpele snelkoppeling zou waarschijnlijk niet voldoende zijn geweest, dus gebruikte hij een harde link: de manier waarop de computer een bestandsnaam verbindt met de daadwerkelijke gegevens die op een harde schijf zijn opgeslagen. Hierdoor kon hij zijn eigen nieuwe bestand naar dezelfde locatie op de schijf verwijzen als de Lua-bestanden.
"Het programma was zich er niet van bewust dat dit bestand naar dezelfde locatie op de harde schijf verwees als het originele Lua-bestand, en hierdoor kon ik het originele inhoudsbestand bewerken", legt hij uit. “Dus heb ik een harde link naar de bestanden gemaakt, enkele regels aangepast en verwijderd. En ik zag dat toen ik ze verwijderde (en nog iets deed waardoor de app nieuwe regels laadde) ik een kwetsbaar stuurprogramma kon laden. En vanaf dat moment was de hele computer van mij.”
Nadat hij de volledige controle had overgenomen in zijn proof of concept-aanval, herinnert Cohen zich: “Wat ik eerst deed was het beveiligingswachtwoord op de XDR wijzigen, zodat het niet kan worden verwijderd. Ik heb ook elke communicatie met de servers geblokkeerd.”
Ondertussen: “Alles lijkt te werken. Ik kan de kwaadaardige activiteiten voor de gebruiker verbergen. Zelfs voor een actie die voorkomen zou zijn, geeft de XDR geen melding. De eindpuntgebruiker ziet de groene markeringen die aangeven dat alles in orde is, terwijl ik daaronder mijn malware uitvoer.”
De malware die hij besloot uit te voeren was in de eerste plaats een omgekeerde shell, die volledige controle over de beoogde machine mogelijk maakte. Vervolgens implementeerde hij met succes ransomware, vlak onder de neus van het programma.
De oplossing die Palo Alto niet heeft gehaald
Palo Alto Networks stond open voor het onderzoek van Cohen en werkte nauw met hem samen om de exploit te begrijpen en oplossingen te ontwikkelen.
Er was echter één kwetsbaarheid in zijn aanvalsketen die ze wilden laten zoals ze zijn: het feit dat de Lua-bestanden van Cortex volledig in leesbare tekst zijn opgeslagen, zonder enige codering, ondanks hun zeer gevoelige aard.
Dat lijkt alarmerend, maar de realiteit is dat encryptie geen echt afschrikmiddel voor aanvallers zou zijn, dus nadat hij de zaak had besproken, waren hij en het beveiligingsbedrijf het erover eens dat ze daar niets aan hoefden te veranderen. Zoals hij opmerkt: “De XDR moet uiteindelijk begrijpen wat hij moet doen. Dus zelfs als het gecodeerd is, zal het op een bepaald moment tijdens de werking die bestanden moeten decoderen om ze te kunnen lezen. Aanvallers konden dan gewoon de inhoud van de bestanden onderscheppen. Het zou voor mij nog een stap zijn om die bestanden te kunnen lezen, maar ik kan ze nog steeds lezen.”
Hij zegt ook dat andere XDR-platforms waarschijnlijk vatbaar zijn voor hetzelfde soort aanvallen.
“Andere XDR’s zullen dit misschien anders implementeren”, zegt hij. “Misschien worden de bestanden gecodeerd. Maar wat ze ook doen, ik kan er altijd omheen.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware
