การใช้ประโยชน์อย่างสร้างสรรค์ของซอฟต์แวร์การตรวจจับและตอบสนอง (XDR) แบบขยายของ Palo Alto Networks อาจทำให้ผู้โจมตีสามารถจำลองมันได้เหมือนกับเครื่องมือมัลติทูลที่เป็นอันตราย
In การบรรยายสรุปที่ Black Hat Asia เมื่อวันที่ 17 เมษายนShmuel Cohen นักวิจัยด้านความปลอดภัยที่ SafeBreach อธิบายว่าเขาไม่เพียงแต่วิศวกรรมย้อนกลับและเจาะเข้าไปในผลิตภัณฑ์ Cortex อันเป็นเอกลักษณ์ของบริษัทเท่านั้น แต่ยังเพิ่มอาวุธเพื่อปรับใช้ Reverse Shell และ Ransomware อีกด้วย
จุดอ่อนทั้งหมดยกเว้นจุดอ่อนประการหนึ่งที่เกี่ยวข้องกับการหาประโยชน์ของเขาได้รับการแก้ไขโดย Palo Alto ไม่ว่าโซลูชัน XDR อื่นๆ ที่คล้ายคลึงกันจะเสี่ยงต่อการโจมตีที่คล้ายกันหรือไม่นั้นยังไม่ชัดเจน
การต่อรองของปีศาจในระบบรักษาความปลอดภัยทางไซเบอร์
มีการต่อรองราคาแบบปีศาจที่หลีกเลี่ยงไม่ได้เมื่อพูดถึงการใช้เครื่องมือรักษาความปลอดภัยบางประเภทที่เข้าถึงได้กว้าง เพื่อให้แพลตฟอร์มเหล่านี้ทำงานได้ พวกเขาจะต้องได้รับสิทธิพิเศษในการเข้าถึงแบบ carte blanche ในทุกซอกทุกมุมในระบบ
เช่น เพื่อดำเนินการ การตรวจสอบแบบเรียลไทม์และการตรวจจับภัยคุกคาม ทั่วทั้งระบบนิเวศไอที XDR ต้องการสิทธิ์สูงสุดที่เป็นไปได้ และการเข้าถึงข้อมูลที่ละเอียดอ่อนมาก และในการบูตนั้นไม่สามารถถอดออกได้ง่าย ๆ พลังอันยิ่งใหญ่ที่ได้รับจากโปรแกรมเหล่านี้เองที่เป็นแรงบันดาลใจให้โคเฮนมีแนวคิดที่บิดเบี้ยว
“ฉันคิดกับตัวเองว่า เป็นไปได้ไหมที่จะเปลี่ยนโซลูชัน EDR ให้เป็นมัลแวร์” โคเฮนบอกกับ Dark Reading “ฉันจะนำสิ่งเหล่านี้ทั้งหมดที่ XDR มีมาใช้กับผู้ใช้”
หลังจากเลือกหัวข้อในห้องปฏิบัติการ — Cortex — เขาเริ่มวิศวกรรมย้อนกลับส่วนประกอบต่างๆ ของมัน โดยพยายามค้นหาว่ามันกำหนดได้อย่างไรว่าอะไรเป็นและไม่เป็นอันตราย
หลอดไฟเปิดขึ้นเมื่อเขาค้นพบชุดไฟล์ข้อความธรรมดาที่โปรแกรมต้องอาศัยมากกว่าส่วนใหญ่
วิธีเปลี่ยน XDR Evil
“แต่กฎเหล่านั้นอยู่ในคอมพิวเตอร์ของฉัน” โคเฮนคิด “จะเกิดอะไรขึ้นถ้าฉันลบมันออกด้วยตนเอง”
ปรากฎว่าพาโลอัลโตคิดเรื่องนี้อยู่แล้ว กลไกป้องกันการงัดแงะป้องกันไม่ให้ผู้ใช้สัมผัสไฟล์ Lua อันมีค่าเหล่านั้น ยกเว้นกลไกนั้นมีส้นอคิลลีส มันทำงานโดยการปกป้องไม่ใช่แต่ละไฟล์ Lua แต่ละไฟล์ด้วยชื่อ แต่เป็นโฟลเดอร์ที่ห่อหุ้มไฟล์ทั้งหมด ในการเข้าถึงไฟล์ที่เขาต้องการ เขาจะไม่ต้องเลิกทำกลไกป้องกันการงัดแงะ ถ้าเขาสามารถปรับเส้นทางที่ใช้ในการเข้าถึงไฟล์เหล่านั้นและข้ามกลไกไปได้เลย
ทางลัดง่ายๆ อาจไม่เพียงพอ เขาจึงใช้ฮาร์ดลิงก์ ซึ่งเป็นวิธีของคอมพิวเตอร์ในการเชื่อมต่อชื่อไฟล์กับข้อมูลจริงที่จัดเก็บไว้ในฮาร์ดไดรฟ์ การทำเช่นนี้ทำให้เขาสามารถชี้ไฟล์ใหม่ของตัวเองไปยังตำแหน่งเดียวกันบนไดรฟ์ได้เหมือนกับไฟล์ Lua
“โปรแกรมไม่ทราบว่าไฟล์นี้ชี้ไปยังตำแหน่งเดียวกันในฮาร์ดดิสก์เป็นไฟล์ Lua ต้นฉบับ และสิ่งนี้ทำให้ฉันสามารถแก้ไขไฟล์เนื้อหาต้นฉบับได้” เขาอธิบาย “ดังนั้นฉันจึงสร้างฮาร์ดลิงก์ไปยังไฟล์ แก้ไขและลบกฎบางอย่างออก และฉันเห็นสิ่งนั้นเมื่อฉันลบมันออก — และทำสิ่งเล็กๆ น้อยๆ อีกอย่างที่ทำให้แอปโหลดกฎใหม่ — ฉันสามารถโหลดไดรเวอร์ที่มีช่องโหว่ได้ และจากตรงนั้น คอมพิวเตอร์ทั้งเครื่องก็เป็นของฉัน”
หลังจากควบคุมการโจมตีแบบ Proof of Concept อย่างสมบูรณ์แล้ว Cohen เล่าว่า “สิ่งที่ฉันทำอันดับแรกคือเปลี่ยนรหัสผ่านการป้องกันบน XDR ดังนั้นจึงไม่สามารถลบออกได้ ฉันยังบล็อกการสื่อสารใด ๆ ไปยังเซิร์ฟเวอร์ของมันด้วย”
ในขณะเดียวกัน “ทุกอย่างดูเหมือนจะได้ผล ฉันสามารถซ่อนกิจกรรมที่เป็นอันตรายจากผู้ใช้ได้ แม้แต่การกระทำที่อาจป้องกันได้ XDR จะไม่แจ้งเตือน ผู้ใช้ปลายทางจะเห็นเครื่องหมายสีเขียวที่ระบุว่าทุกอย่างเรียบร้อยดี ในขณะที่ฉันกำลังเรียกใช้มัลแวร์อยู่ข้างใต้”
มัลแวร์ที่เขาตัดสินใจใช้งาน ประการแรกคือ Reverse Shell ซึ่งช่วยให้สามารถควบคุมเครื่องเป้าหมายได้เต็มรูปแบบ จากนั้นเขาก็ปรับใช้แรนซัมแวร์ได้สำเร็จภายใต้จมูกของโปรแกรม
Fix Palo Alto ไม่ได้ทำ
Palo Alto Networks เปิดกว้างต่อการวิจัยของ Cohen โดยทำงานอย่างใกล้ชิดกับเขาเพื่อทำความเข้าใจช่องโหว่และพัฒนาวิธีแก้ไข
อย่างไรก็ตาม มีช่องโหว่อย่างหนึ่งในห่วงโซ่การโจมตีของเขาที่พวกเขาเลือกที่จะปล่อยไว้เหมือนเดิม นั่นคือความจริงที่ว่าไฟล์ Lua ของ Cortex ถูกจัดเก็บไว้ในข้อความธรรมดาทั้งหมด โดยไม่มีการเข้ารหัสใดๆ เลย แม้ว่าไฟล์เหล่านี้จะมีความอ่อนไหวสูงก็ตาม
ดูเหมือนจะน่าตกใจ แต่ความจริงก็คือการเข้ารหัสไม่ได้ขัดขวางผู้โจมตีมากนัก ดังนั้นหลังจากหารือเกี่ยวกับเรื่องนี้แล้ว เขาและบริษัทรักษาความปลอดภัยก็ตกลงกันว่าพวกเขาไม่จำเป็นต้องเปลี่ยนแปลงสิ่งนั้น ขณะที่เขาตั้งข้อสังเกตว่า "ในที่สุด XDR ก็ต้องเข้าใจว่าต้องทำอย่างไร ดังนั้นถึงแม้ว่ามันจะถูกเข้ารหัส แต่ในบางจุดของการดำเนินการ มันจะต้องถอดรหัสไฟล์เหล่านั้นเพื่อที่จะอ่านมันได้ ดังนั้นผู้โจมตีจึงสามารถจับเนื้อหาของไฟล์ได้ มันจะเป็นอีกขั้นตอนหนึ่งสำหรับฉันในการอ่านไฟล์เหล่านั้น แต่ฉันยังสามารถอ่านได้”
นอกจากนี้เขายังกล่าวด้วยว่าแพลตฟอร์ม XDR อื่นๆ มีแนวโน้มที่จะเสี่ยงต่อการโจมตีประเภทเดียวกัน
“XDR อื่นๆ อาจจะใช้สิ่งนี้แตกต่างออกไป” เขากล่าว “บางทีไฟล์อาจถูกเข้ารหัส แต่ไม่ว่าพวกเขาจะทำอะไรฉันก็สามารถหลีกเลี่ยงมันได้เสมอ”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware