EDR(端點(diǎn)威脅檢測(cè)和響應(yīng))和XDR(擴(kuò)展威脅檢測(cè)和響應(yīng))解決方案在幫助企業(yè)識(shí)別和減輕網(wǎng)絡(luò)攻擊威脅方面發(fā)揮了重要作用��。然而,Lumu公司最新發(fā)布的《2023勒索軟件調(diào)查報(bào)告》數(shù)據(jù)顯示�,由于EDR/XDR措施被突破而造成的數(shù)據(jù)泄露數(shù)量正在持續(xù)上升。攻擊者為何能夠?qū)覍业檬郑?/span>
一直以來(lái)�,針對(duì)惡意軟件的檢測(cè)與繞過(guò)都是一場(chǎng)防守者和攻擊者之間的軍備競(jìng)賽,不斷有新的技術(shù)被應(yīng)用到博弈之中�。研究人員發(fā)現(xiàn),目前的攻擊者正在大量使用檢測(cè)規(guī)避���、漏洞利用和禁用監(jiān)控等方式來(lái)繞過(guò)EDR/XDR工具���,以實(shí)施惡意攻擊。在本文中����,將探討組織如何結(jié)合安全應(yīng)對(duì)策略與服務(wù),進(jìn)一步加強(qiáng)EDR/XDR工具的可靠性��,并確保網(wǎng)絡(luò)安全防護(hù)措施能夠繼續(xù)發(fā)揮出作用。
研究人員發(fā)現(xiàn)��,目前攻擊者用于繞過(guò)EDR/XDR防護(hù)措施的主要方法包括:
CPL文件起初是為了在Windows操作系統(tǒng)上快速訪問(wèn)控制面板中的工具而創(chuàng)建的,現(xiàn)在已經(jīng)成為不法分子隱藏惡意軟件的首選路徑之一����。而動(dòng)態(tài)鏈接庫(kù)(DLL)側(cè)加載技術(shù)讓攻擊者能夠誘騙應(yīng)用程序加載偽造的DLL文件,而不是真實(shí)的DLL文件���,從而實(shí)現(xiàn)了跨多個(gè)程序同時(shí)共享數(shù)據(jù)����。
為了進(jìn)行DLL側(cè)加載攻擊��,攻擊者會(huì)利用微軟應(yīng)用程序的DLL搜索順序來(lái)誘騙Windows應(yīng)用程序加載有害的DLL文件����。通過(guò)將合法DLL換成惡意DLL使應(yīng)用程序加載它���,攻擊者的代碼就可以感染整個(gè)目標(biāo)系統(tǒng)����。
攻擊者會(huì)使用代碼注入將惡意代碼嵌入到合法的應(yīng)用程序或進(jìn)程中��,從而逃避EDR或EPP系統(tǒng)的檢測(cè)���。通過(guò)在另一個(gè)活動(dòng)進(jìn)程的地址空間中執(zhí)行任意代碼�����,惡意代碼可以隱藏在合法進(jìn)程的后面���,因而更難被識(shí)別出來(lái)。
研究人員發(fā)現(xiàn)��,目前有一種流行的代碼注入技術(shù)是進(jìn)程鏤空(process hollowing)�,即攻擊者使用Windows API的CreateProcess()函數(shù)創(chuàng)建一個(gè)處于掛起狀態(tài)的新進(jìn)程。然后�����,該進(jìn)程通過(guò)使用相關(guān)API函數(shù)����,從新進(jìn)程的地址空間中刪除合法二進(jìn)制代碼的內(nèi)存頁(yè)��,從而使新進(jìn)程中留下空白的地址空間����。
API攔截也是目前被攻擊者經(jīng)常使用的檢測(cè)繞過(guò)技術(shù),可用于監(jiān)視進(jìn)程執(zhí)行和檢測(cè)更改����。“攔截”實(shí)際上是截獲應(yīng)用程序之間API調(diào)用的行為�����,這原本是專為開(kāi)發(fā)人員提供的合規(guī)幫助工具����,但是也為網(wǎng)絡(luò)攻擊者非法攔截應(yīng)用程序提供便利,它們正在使用這種技術(shù)攔截合法API調(diào)用����,并操縱它們來(lái)達(dá)到檢測(cè)繞過(guò)的目的。用戶域API攔截就是攻擊者大量采用的一種方法�,用來(lái)攔截應(yīng)用程序?qū)τ脩艨臻g內(nèi)的系統(tǒng)庫(kù)或API的函數(shù)調(diào)用。通過(guò)將函數(shù)調(diào)用重定向到它們各自的代碼,攻擊者可以操縱合法應(yīng)用程序?qū)崿F(xiàn)其不良意圖����。
在新一代XDR方案中的一個(gè)常見(jiàn)功能就是沙箱���,可以在特征碼檢測(cè)基礎(chǔ)上��,從安全虛擬環(huán)境中觸發(fā)未知惡意軟件��,這對(duì)防御者而言非常有用���。但這種防護(hù)措施也會(huì)被攻擊者繞開(kāi),他們會(huì)將惡意軟件中添加激活惡意行為的條件����,比如增加與受害者的互動(dòng),檢測(cè)自身的運(yùn)行環(huán)境����,又或者設(shè)置特定的觸發(fā)時(shí)間等。
研究人員發(fā)現(xiàn)�,惡意人員會(huì)通過(guò)多形態(tài)鍵盤(pán)記錄器BlackMamba等工具,在沒(méi)有人為控制的情況下自動(dòng)篡改代碼��,這套工具的設(shè)計(jì)原則是基于一套自動(dòng)化開(kāi)發(fā)代碼規(guī)則�����,將C2基礎(chǔ)設(shè)施替換成復(fù)雜的自動(dòng)化惡意代碼���,然后將相關(guān)數(shù)據(jù)傳輸給攻擊者��。隨著ChatGPT等工具的不斷完善�,開(kāi)發(fā)者也開(kāi)始利用這些智能工具來(lái)創(chuàng)建能夠生成惡意軟件變體的代碼�����。這意味著傳統(tǒng)BlackMamba工具可以自動(dòng)生成多個(gè)變體的惡意軟件代碼��,不斷篡改自身的代碼結(jié)構(gòu)和特征����,以逃避EDR/XDR(終端檢測(cè)與響應(yīng))系統(tǒng)所采用的檢測(cè)算法。這樣使BlackMamba在被檢測(cè)和阻止之前能夠保持更大程度的隱蔽性和可逃避性�。
針對(duì)以上安全防護(hù)挑戰(zhàn)�,增強(qiáng)EDR/XDR系統(tǒng)的應(yīng)用可靠性����,研究人員給企業(yè)組織提出以下可參考建議:
積極利用威脅情報(bào)
研究發(fā)現(xiàn),整合最新的威脅內(nèi)容和情報(bào)將使得EDR/XDR系統(tǒng)變得更加可靠�。企業(yè)組織應(yīng)該積極利用威脅情報(bào)內(nèi)容�����,并定期分析新興趨勢(shì)��,及時(shí)了解不斷變化的威脅態(tài)勢(shì)��。這有助于主動(dòng)識(shí)別新的惡意軟件變體和攻擊手法�����,確保及時(shí)檢測(cè)發(fā)現(xiàn)和響應(yīng)�����。此外�,加強(qiáng)與針對(duì)特定行業(yè)的信息共享平臺(tái)合作,可以為企業(yè)提供更有效的信息�,有助于了解最新的攻擊技術(shù)和攻陷指標(biāo)��。
構(gòu)建縱深防御體系
由于EDR/XDR檢測(cè)繞過(guò)難以避免����,因此企業(yè)需要協(xié)同其他安全工具來(lái)防止未授權(quán)訪問(wèn)�。在網(wǎng)絡(luò)安全領(lǐng)域中,縱深防御代表著一種更加系統(tǒng)�、積極的防護(hù)戰(zhàn)略,它要求合理利用各種安全技術(shù)的能力和特點(diǎn)�����,構(gòu)建形成多方式����、多層次、功能互補(bǔ)的安全防護(hù)能力體系�,以滿足企業(yè)安全工作中對(duì)縱深性、均衡性�、抗易損性的多種要求。目前��,縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一��,包括了部署網(wǎng)絡(luò)分段�、防火墻規(guī)則��、入侵防御系統(tǒng)和反惡意軟件解決方案�。
完善事件響應(yīng)計(jì)劃
對(duì)于現(xiàn)代企業(yè)組織來(lái)說(shuō)�����,必須時(shí)刻準(zhǔn)備好應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)安全事件�����。在嚴(yán)重安全事件發(fā)生時(shí)�,需要能夠第一時(shí)間制定應(yīng)急處置方案�,充分調(diào)動(dòng)內(nèi)外部團(tuán)隊(duì)資源,并讓所有成員明確自己的任務(wù)���。因此��,提前制定專門(mén)針對(duì)網(wǎng)絡(luò)威脅事件的全面事件響應(yīng)計(jì)劃至關(guān)重要�。這包括用于隔離受感染系統(tǒng)����、遏制傳播以及從安全備份恢復(fù)關(guān)鍵數(shù)據(jù)的預(yù)定義步驟。企業(yè)還應(yīng)該主動(dòng)測(cè)試響應(yīng)計(jì)劃的有效性����,通過(guò)反復(fù)的練習(xí)���,不斷優(yōu)化改進(jìn)安全事件響應(yīng)計(jì)劃。
增強(qiáng)網(wǎng)絡(luò)安全彈性
不斷發(fā)生的勒索攻擊和供應(yīng)鏈攻擊都證明了��,在網(wǎng)絡(luò)安全世界中����,彈性比以往任何時(shí)候更加重要。雖然部署EDR/XDR等防御能力仍然不可或缺�����,但這還遠(yuǎn)遠(yuǎn)不夠���。面對(duì)當(dāng)今包羅萬(wàn)象��、不斷演變的威脅場(chǎng)景�����,需要將網(wǎng)絡(luò)風(fēng)險(xiǎn)防護(hù)策略深入到整個(gè)組織����,同時(shí)還要提升敏捷性。要想增強(qiáng)網(wǎng)絡(luò)安全彈性�,不僅僅是網(wǎng)絡(luò)安全團(tuán)隊(duì)的事情,而是關(guān)乎整個(gè)企業(yè)的事情��。要實(shí)現(xiàn)這一目標(biāo)�,就需要整個(gè)組織的網(wǎng)絡(luò)安全知識(shí)、技能和意識(shí)得到持續(xù)提升���。
