EDR并不完美,检测不出常见攻击!
作者: 日期:2022年02月07日 阅:1,111

一群希腊研究人员测试了当今18家顶尖网络安全公司的端点检测和响应(EDR)软件,结果发现许多软件检测不出高级持续威胁分子(比如政府撑腰的间谍组织和勒索软件团伙)使用的一些最常见的攻击手法。

来自希腊雅典比雷埃夫斯大学的两位研究人员George Karantzas和Constantinos Patsakis说:“我们的结果表明,很多先进的EDR无法预防和记录这份研究中报告的大多数攻击,仍有很大的余地来改进。”

典型的攻击场景

这份研究报告在去年发表,论文题​为《针对高级持续威胁攻击途径的端点检测和响应系统的实证评估》,着重分析了EDR软件。EDR软件是传统防病毒程序的进化版,结合使用静态分析方法和动态分析方法来检测恶意软件,但也可以监测、收集和聚合来自众多端点的数据,试图检测依赖较隐蔽攻击手法的恶意行为,比如滥用合法的应用程序发动攻击。

如今,EDR结合使用从静态文件特征规则到高级机器学习模块的所有方法,被认为是安全软件食物链的顶端。然而,它们并不完美。

Karantzas和Patsakis的研究旨在了解当今一些大公司的EDR在面对模拟常见APT攻击链(kill chain)的各种简单攻击时有怎样的表现。

他们的工作包括购买一个成熟的过期域名来托管恶意软件有效载荷,使用Let’s Encrypt SSL证书确保域名安全,并托管四种常用于攻击的文件,比如:

•一个Windows控制面板快捷文件(.cpl)

•一个合法的Microsoft Teams安装程序(将加载恶意DLL)

•一个未签名的可移植的可执行(EXE)文件

•一个HTML应用程序(HTA)文件

一旦执行,这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。

这条攻击链背后的想法是,这四个文件和Beacon后门是通常发送给受害者的常规有效载荷,这是鱼叉式网络钓鱼电子邮件活动的一部分——一旦后门被植入到企业网络中,所有EDR都理应可以检测后门、阻止后门,或至少向安全团队发出警报。

EDR的测试结果

研究团队针对比特梵德、Carbon Black、Check Point、思科、Comodo、CrowdStrike、Elastic、ESET、F-Secure、飞塔、卡巴斯基、迈卡菲、微软、Panda Security、Sentinel One、Sophos、赛门铁克和趋势科技的EDR软件测试了这些攻击。结果如下表所示:

结果表明,所有接受测试的EDR都没有全部检测出所有攻击途径,从而使威胁分子有法子绕过公司的防御机制。

研究团队认为,这使EDR面临攻击者可以关闭它们或至少禁用其遥测功能的窘境,实际上使防御者对受感染系统上发生的情况一无所知,并使威胁分子可以准备对本地网络发动进一步的攻击。

但并非市面上的所有EDR都在这次实验中接受了测试。

去年,研究人员在Huntress Labs的高级安全人员John Hammond在YouTube频道上的视频博客中露面,表示所有EDR供应商都同意自己的产品接受测试,就连他们测试的这18款产品中有一些也是在SOC和CERT 团队等第三方的帮助下完成测试的。

然而Karantzas和Patsakis 表示,他们一公布了研究成果,几家供应商主动联系,并且请教可以改进产品的方法。

https://therecord.media/state-of-the-art-edrs-are-not-perfect-fail-to-detect-common-attacks/

关键词:


相关文章