警惕XDR的陰暗面——武器化利用
責編:gltian |2024-04-23 18:03:49在網絡安全領域中,有一個無法避免的“魔鬼交易”原則:為了讓各種先進的安全工具能夠順利完成工作,它們會被授予最高等級的訪問權限,并且可以充分獲取網絡系統中的各種資源。事實證明,一旦這些先進的安全防護能力被攻擊者所利用,它們就可能會變成非常邪惡的惡意軟件,對組織造成更巨大的危害。
在不久前舉辦的Black Hat 亞洲簡報會上,SafeBreach公司的安全研究員Shmuel Cohen展示了他如何對Palo Alto Networks的標志性XDR產品Cortex進行了逆向工程和技術破解,并最終成功將其武器化,以部署反向shell和勒索軟件。
據Cohen介紹:XDR已經成為目前企業組織中最流行的網絡安全工具之一,具有非常強大的信息讀取權限和訪問控制能力。正是由于XDR所具有的這些特性,我突然有了一個瘋狂的想法,有沒有可能把XDR方案本身變成一個惡意軟件,將XDR所具備的防護能力變成對付企業的攻擊武器呢?
為了驗證這個想法,Cohen選擇了目前XDR領域中的一款明星產品——Cortex作為實驗對象,對其各個關鍵組件進行了逆向破解。在測試過程中,Cohen發現Palo Alto的Cortex XDR比其他大多數安全工具更依賴于一系列以明文方式存在的配置文件。利用這一弱點,Cohen緊接著開展了一系列攻擊操作:
?更改了XDR上的保護規則,使得它不能被更改;
?封鎖了該設備與其服務器的所有通訊鏈接;
?部署后門程序控制用戶設備;
?繞過XDR檢測機制運行惡意軟件。
“這些操作似乎都起到了作用,最終我成功繞過了Cortex XDR的一系列防篡改保護機制,在用戶看起來一切正常的情況下,將其變成了一款可被實際利用的惡意軟件工具。”Cohen表示:“目前還不知道其他流行的XDR產品中是否存在類似漏洞,但是我想總能找到可利用的方法。”
盡管Cortex XDR所暴露出的弱點并不意味著XDR這種類型的安全工具不再有效。但本次測試再次證明了,網絡安全領域并不存在絕對有效的防護方法和手段,攻與防之間的對抗博弈將會長期存在。
現代網絡攻擊非常復雜,而且是多管齊下的。組織只有構建多層次的縱深防御方法,才能確保所有安全層能夠協同運作,以提供最大的覆蓋范圍,識別和響應網絡系統中不同類型、不同級別的網絡威脅。
此外,組織還需要全面打通關聯所有的網絡和安全監控信息,及時了解最新的威脅態勢和逃逸策略,并不斷評估其最新的安全威脅態勢。只有通過采取多層次、主動式的防護措施,組織才可以更好地保護他們的數字化資產,面對不斷變化的威脅環境。
參考鏈接:
來源:安全牛