一群希腊研究人员测试了当今18家顶尖网络安全公司的端点检测和响应（EDR）软件，结果发现许多软件检测不出高级持续威胁分子（比如政府撑腰的间谍组织和勒索软件团伙）使用的一些最常见的攻击手法。

来自希腊雅典比雷埃夫斯大学的两位研究人员George Karantzas和Constantinos Patsakis说：“我们的结果表明，很多先进的EDR无法预防和记录这份研究中报告的大多数攻击，仍有很大的余地来改进。”

典型的攻击场景

这份研究报告在去年发表，论文题​为《针对高级持续威胁攻击途径的端点检测和响应系统的实证评估》，着重分析了EDR软件。EDR软件是传统防病毒程序的进化版，结合使用静态分析方法和动态分析方法来检测恶意软件，但也可以监测、收集和聚合来自众多端点的数据，试图检测依赖较隐蔽攻击手法的恶意行为，比如滥用合法的应用程序发动攻击。

如今，EDR结合使用从静态文件特征规则到高级机器学习模块的所有方法，被认为是安全软件食物链的顶端。然而，它们并不完美。

Karantzas和Patsakis的研究旨在了解当今一些大公司的EDR在面对模拟常见APT攻击链（kill chain）的各种简单攻击时有怎样的表现。

他们的工作包括购买一个成熟的过期域名来托管恶意软件有效载荷，使用Let’s Encrypt SSL证书确保域名安全，并托管四种常用于攻击的文件，比如：

•一个Windows控制面板快捷文件（.cpl）

•一个合法的Microsoft Teams安装程序（将加载恶意DLL）

•一个未签名的可移植的可执行（EXE）文件

•一个HTML应用程序（HTA）文件

一旦执行，这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。

这条攻击链背后的想法是，这四个文件和Beacon后门是通常发送给受害者的常规有效载荷，这是鱼叉式网络钓鱼电子邮件活动的一部分——一旦后门被植入到企业网络中，所有EDR都理应可以检测后门、阻止后门，或至少向安全团队发出警报。

EDR的测试结果

研究团队针对比特梵德、Carbon Black、Check Point、思科、Comodo、CrowdStrike、Elastic、ESET、F-Secure、飞塔、卡巴斯基、迈卡菲、微软、Panda Security、Sentinel One、Sophos、赛门铁克和趋势科技的EDR软件测试了这些攻击。结果如下表所示：

结果表明，所有接受测试的EDR都没有全部检测出所有攻击途径，从而使威胁分子有法子绕过公司的防御机制。

研究团队认为，这使EDR面临攻击者可以关闭它们或至少禁用其遥测功能的窘境，实际上使防御者对受感染系统上发生的情况一无所知，并使威胁分子可以准备对本地网络发动进一步的攻击。

但并非市面上的所有EDR都在这次实验中接受了测试。

去年，研究人员在Huntress Labs的高级安全人员John Hammond在YouTube频道上的视频博客中露面，表示所有EDR供应商都同意自己的产品接受测试，就连他们测试的这18款产品中有一些也是在SOC和CERT 团队等第三方的帮助下完成测试的。

然而Karantzas和Patsakis 表示，他们一公布了研究成果，几家供应商主动联系，并且请教可以改进产品的方法。

https://therecord.media/state-of-the-art-edrs-are-not-perfect-fail-to-detect-common-attacks/