Търсене
Close this search box.

Креативно използване на софтуера за разширено откриване и реагиране (XDR) на Palo Alto Networks може да позволи на нападателите да го използват като злонамерен мултифункционален инструмент.

В брифинг на Black Hat Asia тази седмица Шмуел Коен, изследовател по сигурността в SafeBreach, описа как не само е направил обратен инженеринг и пробив в подписания продукт Cortex на компанията, но и го е въоръжил, за да разположи обратна обвивка и рансъмуер.

Всички слабости, свързани с неговия експлойт, с изключение на една, вече са отстранени от Palo Alto. Все още не е ясно дали други подобни решения XDR са уязвими на подобна атака.

Дяволска сделка в киберсигурността

Когато става въпрос за използване на някои видове широкообхватни инструменти за сигурност, неизбежно се стига до дяволска сделка. За да могат тези платформи да си вършат работата, те трябва да получат високо привилегирован достъп до всяко кътче в системата.

Например, за да извършва мониторинг в реално време и откриване на заплахи в ИТ екосистемите, XDR изисква възможно най-високи разрешения и достъп до много чувствителна информация. И освен това не може да бъде лесно премахнат. Именно тази огромна власт, с която разполагат тези програми, вдъхнови Коен за една извратена идея.

„Помислих си: Възможно ли е да превърнем самото EDR решение в зловреден софтуер?“ разказва Коен пред Dark Reading. „Бих взел всички тези неща, които има XDR, и бих ги използвал срещу потребителя“.

След като избрал лабораторен обект – Cortex – той започнал да прави обратен инженеринг на различните му компоненти, опитвайки се да разбере как той определя кое е и кое не е злонамерено.

Лампичката светнала, когато открил поредица от файлове с обикновен текст, на които програмата разчитала повече от повечето.

Как да превърнете XDR в зло

„Но тези правила са в моя компютър“, помисли си Коен. „Какво ще стане, ако ги премахна ръчно?“

Оказва се, че Palo Alto вече са помислили за това. Механизъм за борба с фалшифицирането не позволяваше на никой потребител да докосва тези ценни Lua файлове – само че механизмът имаше ахилесова пета. Той работеше, като защитаваше не всеки отделен Lua файл по име, а папката, която ги съдържаше. Тогава, за да достигне до желаните файлове, нямаше да се налага да отменя механизма против подправяне, ако просто можеше да пренасочи пътя, използван за достигането им, и да заобиколи механизма изцяло.

Обикновен пряк път вероятно нямаше да е достатъчен, затова той използва твърда връзка: начинът на компютъра да свърже името на файла с действителните данни, съхранявани на твърдия диск. Това му позволи да насочи новия си файл към същото място на диска, където са и файловете Lua.

„Програмата не знаеше, че този файл сочи към същото място на твърдия диск като оригиналния Lua файл, и това ми позволи да редактирам оригиналния файл със съдържание“, обяснява той. „Затова създадох твърда връзка към файловете, редактирах и премахнах някои правила. И видях, че като ги премахнах – и направих друго малко нещо, което накара приложението да зареди нови правила – можех да заредя уязвим драйвер. И оттам нататък целият компютър беше мой.“

След като придобива пълен контрол в своята доказателствена атака, Коен си спомня: „Това, което направих първо, беше да променя паролата за защита на XDR, така че да не може да бъде премахната. Също така блокирах всякаква комуникация с неговите сървъри“.

Междувременно: „Всичко изглежда така, сякаш работи. Мога да скрия злонамерените действия от потребителя. Дори за действие, което би било предотвратено, XDR не предоставя известие. Потребителят на крайната точка ще вижда зелените знаци, които показват, че всичко е наред, докато отдолу аз изпълнявам своя зловреден софтуер.“

Зловредният софтуер, който е решил да стартира, първо, е обратна обвивка, позволяваща пълен контрол върху целевата машина. След това той успешно разгърнал ransomware, точно под носа на програмата.

Поправката, която Palo Alto не направи

Palo Alto Networks се отзова на изследванията на Коен и работи в тясно сътрудничество с него, за да разбере експлойта и да разработи корекции.

Имаше обаче една уязвимост в неговата верига за атака, която те решиха да оставят така: фактът, че Lua файловете на Cortex се съхраняват изцяло в обикновен текст, без никакво криптиране, въпреки изключително чувствителния им характер.

Това изглежда обезпокоително, но в действителност криптирането не би било кой знае какво възпиращо средство за нападателите, така че след като обсъдиха въпроса, той и компанията за сигурност се съгласиха, че не е необходимо да променят това. Както отбелязва той, „XDR в крайна сметка трябва да разбере какво да прави. Така че дори да е криптиран, в някакъв момент от работата си ще трябва да декриптира тези файлове, за да ги прочете. Така че тогава нападателите биха могли просто да уловят съдържанието на файловете. Това ще бъде още една стъпка за мен, за да прочета тези файлове, но все пак мога да ги прочета“.

Той също така казва, че други платформи XDR вероятно са податливи на същия вид атака.

„Другите XDR може би ще приложат това по различен начин“, казва той. „Може би файловете ще бъдат криптирани. Но без значение какво ще направят, винаги мога да го заобиколя.“

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
03/10/2024

САЩ и техните съюзници изда...

Нови насоки от правителствени агенции в...
03/10/2024

MITRE добавя смекчаващи мер...

Във вторник (в България сряда )MITRE...
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!