對 Palo Alto Networks 的擴展檢測和回應 (XDR) 軟體的創造性利用可能會讓攻擊者像惡意多功能工具一樣操縱它。
In 本週在 Black Hat Asia 舉行的簡報會SafeBreach 的安全研究員 Shmuel Cohen 描述了他不僅對公司的標誌性 Cortex 產品進行逆向工程和破解,而且還將其武器化以部署反向 shell 和勒索軟體。
此後,帕洛阿爾託修復了與他的攻擊相關的所有弱點(除了其中一個)。目前尚不清楚其他類似的 XDR 解決方案是否容易受到類似的攻擊。
網路安全中的魔鬼交易
在使用某些影響深遠的安全工具時,不可避免地存在著魔鬼交易。為了讓這些平台完成其工作,必須授予它們高度特權的全權委託存取系統中的每個角落。
例如,要執行 即時監控和威脅偵測 在整個 IT 生態系統中,XDR 需要盡可能高的權限,並存取非常敏感的資訊。而且,啟動時,它不能輕易刪除。正是這些程序所發揮的巨大力量激發了科恩的一個扭曲的想法。
“我心想:是否有可能將 EDR 解決方案本身變成惡意軟體?”科恩講述暗讀。 “我會利用 XDR 擁有的所有這些東西來對付用戶。”
在選擇了一個實驗室主題——皮質後——他開始對其各個組件進行逆向工程,試圖弄清楚它如何定義什麼是惡意的,什麼是非惡意的。
當他發現該程式比大多數程式更依賴的一系列純文字檔案時,他的靈光一現。
如何扭轉 XDR 的邪惡
「但這些規則就在我的電腦裡,」科恩想。 “如果我手動刪除它們會發生什麼?”
原來,帕洛阿爾托早就想到了這一點。防篡改機制阻止任何用戶接觸這些珍貴的 Lua 文件——但該機制有一個致命弱點。它的工作原理不是透過名稱保護每個單獨的 Lua 文件,而是透過封裝所有文件的資料夾來保護。那麼,為了存取他想要的文件,如果他可以重新定向用於訪問它們的路徑並完全繞過該機制,那麼他就不必撤出消防篡改機制。
一個簡單的快捷方式可能還不夠,所以他使用了硬連結:電腦將檔案名稱與硬碟上儲存的實際資料連接起來的方式。這使他能夠將自己的新檔案指向驅動器上與 Lua 檔案相同的位置。
「程式並不知道該文件與原始 Lua 文件指向硬碟中的同一位置,這使我能夠編輯原始內容文件,」他解釋道。 「所以我創建了一個指向文件的硬鏈接,編輯並刪除了一些規則。當我刪除它們並做了另一件導致應用程式加載新規則的小事時,我發現我可以加載易受攻擊的驅動程式。從那時起,整台電腦都是我的了。
在完全控制概念驗證攻擊後,科恩回憶道:「我首先做的是更改 XDR 上的保護密碼,使其無法被刪除。我還阻止了與其伺服器的任何通訊。
同時,「一切似乎都在運作。我可以對使用者隱藏惡意活動。即使對於本應被阻止的操作,XDR 也不會提供通知。端點用戶將看到綠色標記,表明一切正常,而在下面我正在運行我的惡意軟體。
他決定運行的惡意軟體首先是一個反向 shell,可以完全控制目標機器。然後他就在該程式的眼皮底下成功部署了勒索軟體。
帕洛阿爾托未能解決的問題
Palo Alto Networks 接受了科恩的研究,與他密切合作以了解漏洞並開發修復。
然而,他的攻擊鏈中有一個漏洞,他們選擇保持原樣:Cortex 的 Lua 文件完全以明文形式存儲,沒有任何加密,儘管它們具有高度敏感的性質。
這似乎令人擔憂,但現實是加密對攻擊者沒有多大威懾力,因此在討論此事後,他和安全公司一致認為他們不需要改變這一點。正如他指出的那樣,「XDR 最終需要了解該做什麼。因此,即使它是加密的,在操作過程中的某個時刻,它也需要解密這些檔案才能讀取它們。這樣攻擊者就可以捕捉檔案的內容。為了閱讀這些文件,我還需要再邁出一步,但我仍然可以閱讀它們。
他也表示,其他 XDR 平台也可能容易受到同類攻擊。
「其他 XDR 可能會以不同的方式實現這一點,」他說。 「也許這些文件會被加密。但無論他們做什麼,我總是能繞過它。
