Творческий подход к программному обеспечению расширенного обнаружения и реагирования (XDR) компании Palo Alto Networks мог позволить злоумышленникам использовать его как вредоносный мультиинструмент.
In a briefing at Black Hat Asia on April 17Шмуэль Коэн, исследователь безопасности в SafeBreach, рассказал, как он не только провел реверс-инжиниринг и взломал фирменный продукт компании Cortex, но и использовал его в качестве оружия для развертывания обратной оболочки и программы-вымогателя.
Все слабости, связанные с его подвигом, кроме одной, с тех пор были исправлены Пало-Альто. Пока неясно, уязвимы ли другие подобные решения XDR для аналогичной атаки.
Дьявольская сделка в области кибербезопасности
Когда дело доходит до использования определенных видов далеко идущих инструментов безопасности, существует неизбежная сделка с дьяволом. Чтобы эти платформы могли выполнять свою работу, им должен быть предоставлен привилегированный карт-бланш доступа ко всем уголкам системы.
Например, для выполнения мониторинг в режиме реального времени и обнаружение угроз Во всех ИТ-экосистемах XDR требует максимально возможных разрешений и доступа к очень конфиденциальной информации. И, кроме того, его нелегко удалить. Именно эта огромная сила, которой обладали эти программы, вдохновила Коэна на извращенную идею.
«Я подумал про себя: можно ли превратить само решение EDR во вредоносное ПО?» Коэн рассказывает Dark Reading. «Я бы взял все эти вещи, которые есть у XDR, и использовал их против пользователя».
Выбрав лабораторный объект — Cortex — он начал реконструировать его различные компоненты, пытаясь выяснить, как он определяет, что является вредоносным, а что нет.
Лампочка загорелась, когда он обнаружил серию открытых текстовых файлов, на которые программа полагалась больше, чем на большинство других.
Как превратить XDR во зло
«Но эти правила внутри моего компьютера», — подумал Коэн. «Что произойдет, если я удалю их вручную?»
Оказалось, что Пало-Альто уже об этом подумал. Механизм защиты от несанкционированного доступа не позволял любому пользователю прикасаться к этим драгоценным файлам Lua — за исключением того, что у этого механизма была ахиллесова пята. Он работал, защищая не каждый отдельный файл Lua по имени, а папку, в которой они все инкапсулированы. Таким образом, чтобы получить доступ к нужным файлам, ему не пришлось бы отменять механизм защиты от несанкционированного доступа, если бы он мог просто переориентировать путь, используемый для доступа к ним, и вообще обойти этот механизм.
Простого ярлыка, вероятно, было бы недостаточно, поэтому он использовал жесткую ссылку: компьютерный способ соединения имени файла с фактическими данными, хранящимися на жестком диске. Это позволило ему указать свой новый файл на то же место на диске, что и файлы Lua.
«Программа не знала, что этот файл указывал на то же место на жестком диске, что и исходный файл Lua, и это позволило мне редактировать исходный файл содержимого», — объясняет он. «Поэтому я создал жесткую ссылку на файлы, отредактировал и удалил некоторые правила. И я увидел, что, удалив их — и сделав еще одну небольшую вещь, которая заставила приложение загружать новые правила — я смог загрузить уязвимый драйвер. И с этого момента весь компьютер стал моим».
Получив полный контроль над атакой, подтверждающей концепцию, Коэн вспоминает: «Сначала я изменил пароль защиты на XDR, чтобы его нельзя было удалить. Я также заблокировал любую связь с его серверами».
Между тем: «Кажется, все работает. Я могу скрыть вредоносные действия от пользователя. Даже о действии, которое можно было бы предотвратить, XDR не выдаст уведомление. Пользователь конечной точки увидит зеленые метки, указывающие, что все в порядке, а под ними я запускаю свое вредоносное ПО».
Вредоносная программа, которую он решил запустить, представляла собой, во-первых, обратную оболочку, обеспечивающую полный контроль над целевой машиной. Затем он успешно внедрил программу-вымогатель прямо под носом программы.
Исправление, которого не сделал Пало-Альто
Palo Alto Networks внимательно отнеслась к исследованиям Коэна и тесно сотрудничала с ним, чтобы понять суть уязвимости и разработать исправления.
Однако в его цепочке атак была одна уязвимость, которую они решили оставить как есть: тот факт, что Lua-файлы Cortex хранятся полностью в виде открытого текста, без какого-либо шифрования, несмотря на их очень конфиденциальный характер.
Это кажется тревожным, но реальность такова, что шифрование не будет большим сдерживающим фактором для злоумышленников, поэтому после обсуждения этого вопроса он и охранная компания согласились, что им не нужно это менять. Как он отмечает: «XDR в конечном итоге должен понять, что делать. Таким образом, даже если он зашифрован, в какой-то момент работы ему потребуется расшифровать эти файлы, чтобы прочитать их. Таким образом, злоумышленники могли бы просто перехватить содержимое файлов. Мне потребовался бы еще один шаг, чтобы прочитать эти файлы, но я все равно могу их прочитать».
Он также говорит, что другие платформы XDR, вероятно, подвержены атакам такого же типа.
«Возможно, другие XDR реализуют это по-другому», — говорит он. «Может быть, файлы будут зашифрованы. Но что бы они ни делали, я всегда могу обойти это».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware