Palo Alto Networks'ün genişletilmiş algılama ve yanıt (XDR) yazılımının yaratıcı bir şekilde kullanılması, saldırganların onu kötü amaçlı bir çok amaçlı araç gibi kuklalamasına olanak tanıyabilirdi.
In a briefing at Black Hat Asia on April 17SafeBreach güvenlik araştırmacısı Shmuel Cohen, şirketin imzası olan Cortex ürününe nasıl tersine mühendislik yapıp sızmakla kalmayıp aynı zamanda onu ters kabuk ve fidye yazılımı dağıtmak için silah haline getirdiğini anlattı.
Onun başarısıyla ilgili zayıflıklardan biri hariç tümü o zamandan beri Palo Alto tarafından onarıldı. Diğer benzer XDR çözümlerinin benzer bir saldırıya karşı savunmasız olup olmadığı henüz belli değil.
Siber Güvenlikte Şeytanın Pazarlığı
Bazı geniş kapsamlı güvenlik araçlarının kullanılması söz konusu olduğunda kaçınılmaz bir şeytan pazarlığı söz konusudur. Bu platformların işlerini yapabilmeleri için, sistemdeki her köşe bucakta son derece ayrıcalıklı sınırsız erişime sahip olmaları gerekiyor.
Örneğin gerçekleştirmek için gerçek zamanlı izleme ve tehdit tespiti XDR, BT ekosistemleri genelinde mümkün olan en yüksek izinleri ve çok hassas bilgilere erişimi talep eder. Ve önyükleme yapmak için kolayca kaldırılamaz. Cohen'e çarpık bir fikre ilham veren şey, bu programların kullandığı muazzam güçtü.
"Kendi kendime şunu düşündüm: Bir EDR çözümünün kendisini kötü amaçlı yazılıma dönüştürmek mümkün olabilir mi?" Cohen, Dark Reading'e anlatıyor. "XDR'nin sahip olduğu tüm bu şeyleri alıp kullanıcıya karşı kullanırdım."
Bir laboratuvar konusu olan Cortex'i seçtikten sonra, neyin kötü niyetli olup olmadığını nasıl tanımladığını anlamaya çalışarak onun çeşitli bileşenlerine tersine mühendislik yapmaya başladı.
Programın çoğu kişiden daha fazla güvendiği bir dizi düz metin dosyası keşfettiğinde bir ampul yandı.
XDR Evil'i Nasıl Dönüştürürüz?
Cohen, "Ama bu kurallar bilgisayarımın içinde" diye düşündü. "Onları manuel olarak kaldırırsam ne olur?"
Palo Alto'nun bunu zaten düşündüğü ortaya çıktı. Kurcalamaya karşı koruma mekanizması, herhangi bir kullanıcının bu değerli Lua dosyalarına dokunmasını engelledi; ancak mekanizmanın Aşil topuğu vardı. Her bir Lua dosyasını ismine göre değil, hepsini kapsayan klasörü koruyarak çalıştı. Bu durumda, istediği dosyalara ulaşmak için, onlara ulaşmak için kullanılan yolu yeniden yönlendirebilseydi ve mekanizmayı tamamen atlayabilseydi, kurcalamayı önleme mekanizmasını geri almasına gerek kalmayacaktı.
Basit bir kısayol muhtemelen yeterli olmayacaktı, bu yüzden sabit bir bağlantı kullandı: bilgisayarın bir dosya adını sabit sürücüde depolanan gerçek verilere bağlama yöntemi. Bu, kendi yeni dosyasını sürücüde Lua dosyalarıyla aynı konuma yönlendirmesine olanak tanıdı.
"Program, bu dosyanın sabit diskte orijinal Lua dosyasıyla aynı konuma işaret ettiğinin farkında değildi ve bu, orijinal içerik dosyasını düzenlememe olanak sağladı" diye açıklıyor. “Böylece dosyalara sabit bir bağlantı oluşturdum, bazı kuralları düzenledim ve kaldırdım. Bunları kaldırdığımda ve uygulamanın yeni kurallar yüklemesine neden olan küçük bir şey daha yaptığımda, savunmasız bir sürücüyü yükleyebildiğimi gördüm. Ve oradan itibaren bilgisayarın tamamı benimdi.”
Cohen, konsept kanıtı saldırısında tüm kontrolü ele geçirdikten sonra şunları hatırlıyor: "İlk yaptığım şey, XDR'deki koruma şifresini, kaldırılamayacak şekilde değiştirmekti. Ayrıca sunucularıyla olan her türlü iletişimi de engelledim.
Bu arada, “Her şey çalışıyor gibi görünüyor. Kötü niyetli etkinlikleri kullanıcıdan gizleyebilirim. Engellenmesi gereken bir eylem için bile XDR bildirim sağlamayacaktır. Uç nokta kullanıcısı, altında kötü amaçlı yazılımımı çalıştırırken, her şeyin yolunda olduğunu gösteren yeşil işaretleri görecektir."
Çalıştırmaya karar verdiği kötü amaçlı yazılım, öncelikle hedeflenen makine üzerinde tam kontrol sağlayan bir ters kabuktu. Daha sonra programın burnunun dibinde fidye yazılımını başarıyla dağıttı.
Palo Alto'nun başaramadığı düzeltme
Palo Alto Networks, Cohen'in araştırmasını olumlu karşıladı ve istismarı anlamak ve düzeltmeler geliştirmek için onunla yakın işbirliği içinde çalıştı.
Ancak saldırı zincirinde bir güvenlik açığı vardı ve bu güvenlik açığını olduğu gibi bırakmayı seçtiler: Cortex'in Lua dosyalarının son derece hassas yapılarına rağmen hiçbir şifreleme olmadan tamamen düz metin olarak saklanması.
Bu endişe verici görünüyor, ancak gerçek şu ki şifreleme saldırganlar için pek caydırıcı olmayacaktır, bu nedenle konuyu tartıştıktan sonra kendisi ve güvenlik şirketi bunu değiştirmeye gerek olmadığı konusunda anlaştılar. Kendisinin belirttiği gibi, "XDR'nin eninde sonunda ne yapması gerektiğini anlaması gerekiyor. Yani şifrelenmiş olsa bile, çalışmasının bir noktasında bu dosyaları okuyabilmek için şifreyi çözmesi gerekecektir. Böylece saldırganlar dosyaların içeriğini yakalayabilir. O dosyaları okumak benim için bir adım daha demek olurdu ama hâlâ okuyabiliyorum.”
Ayrıca diğer XDR platformlarının da muhtemelen aynı tür saldırılara açık olduğunu söylüyor.
"Belki diğer XDR'ler bunu farklı şekilde uygulayacaktır" diyor. “Belki dosyalar şifrelenir. Ama ne yaparlarsa yapsınlar, her zaman bunu atlatabilirim.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware