ניצול יצירתי של תוכנת הזיהוי והתגובה המורחב (XDR) של Palo Alto Networks יכול היה לאפשר לתוקפים לדמות אותה כמו כלי ריבוי זדוני.
In תדרוך ב-Black Hat Asia ב-17 באפריל, שמואל כהן, חוקר אבטחה ב-SafeBreach, תיאר כיצד הוא לא רק ביצע הנדסה הפוכה ופצח במוצר Cortex החתימה של החברה אלא גם ניצל אותו כדי לפרוס מעטפת הפוכה ותוכנות כופר.
כל החולשות פרט לאחת הקשורות לניצול שלו תוקנו מאז על ידי פאלו אלטו. האם פתרונות XDR אחרים דומים חשופים להתקפה דומה עדיין לא ברור.
מציאת השטן באבטחת סייבר
יש מציאת שטן בלתי נמנעת כשמדובר בשימוש בסוגים מסוימים של כלי אבטחה מרחיקי לכת. על מנת שפלטפורמות אלו יבצעו את עבודתן, יש להעניק להן גישה ל-carte blanche מיוחסת ביותר על פני כל פינה ופינה במערכת.
למשל, להופיע ניטור וזיהוי איומים בזמן אמת בכל מערכות IT, XDR דורש את ההרשאות הגבוהות ביותר האפשריות וגישה למידע רגיש מאוד. וכדי לאתחל, לא ניתן להסיר אותו בקלות. הכוח העצום הזה שהפעילו התוכניות הללו הוא שהעניק השראה לכהן לרעיון מעוות.
"חשבתי לעצמי: האם ניתן יהיה להפוך פתרון EDR עצמו לתוכנה זדונית?" כהן מספר ל- Dark Reading. "הייתי לוקח את כל הדברים האלה שיש ל-XDR ומשתמש בהם נגד המשתמש."
לאחר שבחר נושא מעבדה - קורטקס - הוא החל לבצע הנדסה לאחור של מרכיביו השונים, בניסיון להבין כיצד הוא מגדיר מה זדוני ומה לא.
נורה נדלקה כאשר גילה סדרה של קבצי טקסט רגיל שהתוכנית הסתמכה עליהם יותר מרובם.
כיצד להפוך את XDR לרעה
"אבל הכללים האלה נמצאים בתוך המחשב שלי", חשב כהן. "מה יקרה אם אסיר אותם ידנית?"
התברר שפאלו אלטו כבר חשב על זה. מנגנון נגד שיבוש מנע מכל משתמש לגעת בקבצי Lua היקרים האלה - אלא שלמנגנון היה עקב אכילס. זה עבד על ידי הגנה לא על כל קובץ Lua בודד בשם, אלא על התיקיה שעטפה את כולם. כדי להגיע לקבצים שהוא רצה, אם כן, הוא לא יצטרך לבטל את המנגנון נגד שיבוש, אם הוא יכול רק לכוון מחדש את הנתיב המשמש כדי להגיע אליהם ולעקוף את המנגנון לחלוטין.
קיצור דרך פשוט כנראה לא היה מספיק, אז הוא השתמש בקישור קשיח: הדרך של המחשב לחבר שם קובץ עם הנתונים בפועל המאוחסנים בכונן קשיח. זה איפשר לו להפנות את הקובץ החדש שלו לאותו מיקום בכונן כמו קבצי Lua.
"התוכנית לא הייתה מודעת לכך שהקובץ הזה מצביע על אותו מיקום בדיסק הקשיח כמו קובץ Lua המקורי, וזה איפשר לי לערוך את קובץ התוכן המקורי", הוא מסביר. "אז יצרתי קישור קשיח לקבצים, ערכתי והסרתי כמה כללים. וראיתי שכשהסרתי אותם - ועשיתי עוד דבר קטן שגרם לאפליקציה לטעון כללים חדשים - אני יכול לטעון דרייבר פגיע. ומשם, כל המחשב היה שלי".
לאחר שלוקח שליטה מלאה בהתקפת ההוכחה שלו, כהן נזכר, "מה שעשיתי קודם זה לשנות את סיסמת ההגנה ב-XDR כדי שלא ניתן להסיר אותה. חסמתי גם כל תקשורת לשרתים שלה".
בינתיים, "נראה שהכל עובד. אני יכול להסתיר את הפעילויות הזדוניות מהמשתמש. אפילו עבור פעולה שהייתה נמנעת, ה-XDR לא יספק הודעה. משתמש נקודת הקצה יראה את הסימנים הירוקים שמציינים שהכל בסדר, בעוד שמתחתיו אני מפעיל את התוכנה הזדונית שלי."
התוכנה הזדונית שהוא החליט להפעיל הייתה, ראשית, מעטפת הפוכה, המאפשרת שליטה מלאה על המחשב הממוקד. ואז הוא פרס בהצלחה תוכנת כופר, ממש מתחת לאף של התוכנית.
התיקון שפאלו אלטו לא עשה
Palo Alto Networks הייתה קשובה למחקר של כהן, ועבדה איתו בשיתוף פעולה הדוק כדי להבין את הניצול ולפתח תיקונים.
עם זאת, הייתה פגיעות אחת בשרשרת ההתקפה שלו, שהם בחרו להשאיר כפי שהיא: העובדה שקובצי ה-Lua של Cortex מאוחסנים במלואם בטקסט רגיל, ללא הצפנה כלשהי, למרות אופיים הרגיש ביותר.
זה נראה מדאיג, אבל המציאות היא שהצפנה לא תהיה מרתיעה במיוחד עבור התוקפים, אז לאחר שדנו בעניין, הוא וחברת האבטחה הסכימו שהם לא צריכים לשנות את זה. כפי שהוא מציין, "ה-XDR בסופו של דבר צריך להבין מה לעשות. אז גם אם הוא מוצפן, בשלב מסוים במהלך פעולתו הוא יצטרך לפענח את הקבצים האלה כדי לקרוא אותם. אז התוקפים יכלו פשוט לתפוס את תוכן הקבצים אז. זה יהיה עוד צעד בשבילי לקרוא את הקבצים האלה, אבל אני עדיין יכול לקרוא אותם."
הוא גם אומר שפלטפורמות XDR אחרות עשויות להיות רגישות לאותו סוג של התקפה.
"XDRs אחרים יישמו את זה אחרת, אולי," הוא אומר. "אולי הקבצים יוצפנו. אבל לא משנה מה הם יעשו, אני תמיד יכול לעקוף את זה".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware