对 Palo Alto Networks 的扩展检测和响应 (XDR) 软件的创造性利用可能会让攻击者像恶意多功能工具一样操纵它。
In 本周在 Black Hat Asia 举行的简报会SafeBreach 的安全研究员 Shmuel Cohen 描述了他如何不仅对公司的标志性 Cortex 产品进行逆向工程和破解,而且还将其武器化以部署反向 shell 和勒索软件。
此后,帕洛阿尔托修复了与他的攻击相关的所有弱点(除了其中一个)。目前尚不清楚其他类似的 XDR 解决方案是否容易受到类似的攻击。
网络安全中的魔鬼交易
在使用某些影响深远的安全工具时,不可避免地存在着魔鬼交易。为了让这些平台完成其工作,必须授予它们高度特权的全权委托访问系统中的每个角落。
例如,要执行 实时监控和威胁检测 在整个 IT 生态系统中,XDR 需要尽可能高的权限,并访问非常敏感的信息。而且,启动时,它不能轻易删除。正是这些程序所发挥的巨大力量激发了科恩的一个扭曲的想法。
“我心想:是否有可能将 EDR 解决方案本身变成恶意软件?”科恩讲述暗读。 “我会利用 XDR 拥有的所有这些东西来对付用户。”
在选择了一个实验室主题——皮质后——他开始对其各个组件进行逆向工程,试图弄清楚它如何定义什么是恶意的,什么是非恶意的。
当他发现该程序比大多数程序更依赖的一系列纯文本文件时,他的灵光一现。
如何扭转 XDR 的邪恶
“但这些规则就在我的电脑里,”科恩想。 “如果我手动删除它们会发生什么?”
原来,帕洛阿尔托早就想到了这一点。防篡改机制阻止任何用户接触这些珍贵的 Lua 文件——但该机制有一个致命弱点。它的工作原理不是通过名称保护每个单独的 Lua 文件,而是通过封装所有文件的文件夹来保护。那么,为了访问他想要的文件,如果他可以重新定向用于访问它们的路径并完全绕过该机制,那么他就不必撤消防篡改机制。
一个简单的快捷方式可能还不够,所以他使用了硬链接:计算机将文件名与硬盘驱动器上存储的实际数据连接起来的方式。这使他能够将自己的新文件指向驱动器上与 Lua 文件相同的位置。
“程序并不知道该文件与原始 Lua 文件指向硬盘中的同一位置,这使我能够编辑原始内容文件,”他解释道。 “所以我创建了一个指向文件的硬链接,编辑并删除了一些规则。当我删除它们并做了另一件导致应用程序加载新规则的小事时,我发现我可以加载易受攻击的驱动程序。从那时起,整台电脑都是我的了。”
在完全控制概念验证攻击后,科恩回忆道:“我首先做的是更改 XDR 上的保护密码,使其无法被删除。我还阻止了与其服务器的任何通信。”
与此同时,“一切似乎都在运作。我可以对用户隐藏恶意活动。即使对于本应被阻止的操作,XDR 也不会提供通知。端点用户将看到绿色标记,表明一切正常,而在下面我正在运行我的恶意软件。”
他决定运行的恶意软件首先是一个反向 shell,可以完全控制目标机器。然后他就在该程序的眼皮子底下成功部署了勒索软件。
帕洛阿尔托未能解决的问题
Palo Alto Networks 接受了科恩的研究,与他密切合作以了解漏洞并开发修复程序。
然而,他的攻击链中有一个漏洞,他们选择保持原样:Cortex 的 Lua 文件完全以明文形式存储,没有任何加密,尽管它们具有高度敏感的性质。
这似乎令人担忧,但现实是加密对攻击者没有多大威慑力,因此在讨论此事后,他和安全公司一致认为他们不需要改变这一点。正如他指出的那样,“XDR 最终需要了解该做什么。因此,即使它是加密的,在操作过程中的某个时刻,它也需要解密这些文件才能读取它们。这样攻击者就可以捕获文件的内容。对我来说,读取这些文件还需要多走一步,但我仍然可以读取它们。”
他还表示,其他 XDR 平台也可能容易受到同类攻击。
“其他 XDR 可能会以不同的方式实现这一点,”他说。 “也许这些文件会被加密。但无论他们做什么,我总能绕过它。”
