Twórczy exploit oprogramowania do rozszerzonego wykrywania i reagowania (XDR) firmy Palo Alto Networks mógł umożliwić atakującym wykorzystanie go niczym złośliwego narzędzia wielofunkcyjnego.
In a briefing at Black Hat Asia on April 17Shmuel Cohen, badacz bezpieczeństwa w SafeBreach, opisał, jak nie tylko dokonał inżynierii wstecznej i włamał się do charakterystycznego dla firmy produktu Cortex, ale także uzbroił go w celu wdrożenia powłoki odwrotnej i oprogramowania ransomware.
Wszystkie słabości związane z jego wyczynem z wyjątkiem jednej zostały naprawione przez Palo Alto. Nie jest jeszcze jasne, czy inne, podobne rozwiązania XDR są podatne na podobny atak.
Diabelska okazja w cyberbezpieczeństwie
Istnieje nieunikniony diabelski interes, jeśli chodzi o użycie pewnego rodzaju dalekosiężnych narzędzi bezpieczeństwa. Aby platformy te mogły wykonywać swoje zadania, muszą uzyskać wysoce uprzywilejowany dostęp do każdego zakamarka systemu.
Na przykład wykonać monitorowanie w czasie rzeczywistym i wykrywanie zagrożeń w ekosystemach IT XDR wymaga najwyższych możliwych uprawnień i dostępu do bardzo wrażliwych informacji. I na dodatek nie da się go łatwo usunąć. To właśnie ta ogromna moc, jaką dzierżyły te programy, zainspirowała Cohena do sformułowania pokrętnego pomysłu.
„Pomyślałem sobie: czy byłoby możliwe przekształcenie samego rozwiązania EDR w złośliwe oprogramowanie?” Cohen opowiada Dark Reading. „Wziąłbym wszystkie te rzeczy, które ma XDR i użył ich przeciwko użytkownikowi.”
Po wybraniu obiektu laboratoryjnego — kory mózgowej — rozpoczął inżynierię wsteczną jego różnych komponentów, próbując dowiedzieć się, jak definiuje on, co jest, a co nie, złośliwe.
Żarówka zapaliła się, gdy odkrył serię plików tekstowych, na których program polegał bardziej niż większość.
Jak zmienić XDR w zło
„Ale te zasady są w moim komputerze” – pomyślał Cohen. „Co by się stało, gdybym je ręcznie usunął?”
Okazało się, że Palo Alto już o tym pomyślał. Mechanizm zapobiegający manipulacji uniemożliwiał użytkownikowi dotknięcie tych cennych plików Lua – z wyjątkiem tego, że mechanizm miał piętę Achillesa. Działało to poprzez ochronę nie każdego pojedynczego pliku Lua według nazwy, ale folderu, który je wszystkie zawierał. Aby zatem dotrzeć do potrzebnych plików, nie musiałby cofać mechanizmu zapobiegającego manipulacji, gdyby tylko mógł zmienić orientację ścieżki prowadzącej do nich i całkowicie ominąć mechanizm.
Prosty skrót prawdopodobnie nie wystarczyłby, więc użył twardego łącza: sposobu, w jaki komputer łączy nazwę pliku z rzeczywistymi danymi przechowywanymi na dysku twardym. To pozwoliło mu wskazać swój własny nowy plik w tej samej lokalizacji na dysku, co pliki Lua.
„Program nie wiedział, że ten plik wskazuje to samo miejsce na dysku twardym, co oryginalny plik Lua, co umożliwiło mi edycję oryginalnego pliku zawartości” – wyjaśnia. „Stworzyłem więc twardy link do plików, edytowałem i usunąłem niektóre zasady. I zobaczyłem, że gdy je usunąłem — i zrobiłem kolejną drobną rzecz, która spowodowała, że aplikacja wczytała nowe reguły — mogłem załadować podatny na ataki sterownik. I od tego momentu cały komputer był mój.”
Po przejęciu całkowitej kontroli nad atakiem weryfikującym koncepcję Cohen wspomina: „Najpierw zmieniłem hasło zabezpieczające XDR, aby nie można było go usunąć. Zablokowałem także wszelką komunikację z jego serwerami.”
Tymczasem „Wygląda na to, że wszystko działa. Mogę ukryć szkodliwe działania przed użytkownikiem. Nawet w przypadku działania, któremu można byłoby zapobiec, XDR nie wyśle powiadomienia. Użytkownik punktu końcowego zobaczy zielone znaki wskazujące, że wszystko jest w porządku, podczas gdy pod spodem działa moje złośliwe oprogramowanie.
Szkodliwym oprogramowaniem, które zdecydował się uruchomić, była przede wszystkim odwrotna powłoka, umożliwiająca pełną kontrolę nad zaatakowaną maszyną. Następnie pomyślnie wdrożył oprogramowanie ransomware tuż pod nosem programu.
Poprawka, której nie zrobił Palo Alto
Firma Palo Alto Networks była otwarta na badania Cohena i ściśle z nim współpracowała, aby zrozumieć exploit i opracować poprawki.
W jego łańcuchu ataków istniała jednak jedna luka, którą zdecydowali się pozostawić bez zmian: fakt, że pliki Lua Cortexu są przechowywane w całości w postaci zwykłego tekstu, bez żadnego szyfrowania, pomimo ich bardzo wrażliwego charakteru.
Wydaje się to niepokojące, ale rzeczywistość jest taka, że szyfrowanie nie odstraszyłoby atakujących, więc po omówieniu tej kwestii on i firma zajmująca się bezpieczeństwem zgodzili się, że nie trzeba tego zmieniać. Jak zauważa: „XDR w końcu musi zrozumieć, co robić. Zatem nawet jeśli jest zaszyfrowany, w pewnym momencie działania będzie musiał odszyfrować te pliki, aby je odczytać. Zatem atakujący mogliby po prostu przechwycić zawartość plików. Byłby to dla mnie kolejny krok w kierunku odczytania tych plików, ale nadal mogę je przeczytać”.
Mówi również, że inne platformy XDR są prawdopodobnie podatne na ten sam rodzaj ataku.
„Być może inne XDR wdrożą to inaczej” – mówi. „Być może pliki zostaną zaszyfrowane. Ale bez względu na to, co zrobią, zawsze mogę to ominąć.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware