Търсене
Close this search box.

Evil XDR: Изследовател превръща софтуера на Palo Alto в съвършен зловреден софтуер

Креативно използване на софтуера за разширено откриване и реагиране (XDR) на Palo Alto Networks може да позволи на нападателите да го използват като злонамерен мултифункционален инструмент.

В брифинг на Black Hat Asia тази седмица Шмуел Коен, изследовател по сигурността в SafeBreach, описа как не само е направил обратен инженеринг и пробив в подписания продукт Cortex на компанията, но и го е въоръжил, за да разположи обратна обвивка и рансъмуер.

Всички слабости, свързани с неговия експлойт, с изключение на една, вече са отстранени от Palo Alto. Все още не е ясно дали други подобни решения XDR са уязвими на подобна атака.

Дяволска сделка в киберсигурността

Когато става въпрос за използване на някои видове широкообхватни инструменти за сигурност, неизбежно се стига до дяволска сделка. За да могат тези платформи да си вършат работата, те трябва да получат високо привилегирован достъп до всяко кътче в системата.

Например, за да извършва мониторинг в реално време и откриване на заплахи в ИТ екосистемите, XDR изисква възможно най-високи разрешения и достъп до много чувствителна информация. И освен това не може да бъде лесно премахнат. Именно тази огромна власт, с която разполагат тези програми, вдъхнови Коен за една извратена идея.

„Помислих си: Възможно ли е да превърнем самото EDR решение в зловреден софтуер?“ разказва Коен пред Dark Reading. „Бих взел всички тези неща, които има XDR, и бих ги използвал срещу потребителя“.

След като избрал лабораторен обект – Cortex – той започнал да прави обратен инженеринг на различните му компоненти, опитвайки се да разбере как той определя кое е и кое не е злонамерено.

Лампичката светнала, когато открил поредица от файлове с обикновен текст, на които програмата разчитала повече от повечето.

Как да превърнете XDR в зло

„Но тези правила са в моя компютър“, помисли си Коен. „Какво ще стане, ако ги премахна ръчно?“

Оказва се, че Palo Alto вече са помислили за това. Механизъм за борба с фалшифицирането не позволяваше на никой потребител да докосва тези ценни Lua файлове – само че механизмът имаше ахилесова пета. Той работеше, като защитаваше не всеки отделен Lua файл по име, а папката, която ги съдържаше. Тогава, за да достигне до желаните файлове, нямаше да се налага да отменя механизма против подправяне, ако просто можеше да пренасочи пътя, използван за достигането им, и да заобиколи механизма изцяло.

Обикновен пряк път вероятно нямаше да е достатъчен, затова той използва твърда връзка: начинът на компютъра да свърже името на файла с действителните данни, съхранявани на твърдия диск. Това му позволи да насочи новия си файл към същото място на диска, където са и файловете Lua.

„Програмата не знаеше, че този файл сочи към същото място на твърдия диск като оригиналния Lua файл, и това ми позволи да редактирам оригиналния файл със съдържание“, обяснява той. „Затова създадох твърда връзка към файловете, редактирах и премахнах някои правила. И видях, че като ги премахнах – и направих друго малко нещо, което накара приложението да зареди нови правила – можех да заредя уязвим драйвер. И оттам нататък целият компютър беше мой.“

След като придобива пълен контрол в своята доказателствена атака, Коен си спомня: „Това, което направих първо, беше да променя паролата за защита на XDR, така че да не може да бъде премахната. Също така блокирах всякаква комуникация с неговите сървъри“.

Междувременно: „Всичко изглежда така, сякаш работи. Мога да скрия злонамерените действия от потребителя. Дори за действие, което би било предотвратено, XDR не предоставя известие. Потребителят на крайната точка ще вижда зелените знаци, които показват, че всичко е наред, докато отдолу аз изпълнявам своя зловреден софтуер.“

Зловредният софтуер, който е решил да стартира, първо, е обратна обвивка, позволяваща пълен контрол върху целевата машина. След това той успешно разгърнал ransomware, точно под носа на програмата.

Поправката, която Palo Alto не направи

Palo Alto Networks се отзова на изследванията на Коен и работи в тясно сътрудничество с него, за да разбере експлойта и да разработи корекции.

Имаше обаче една уязвимост в неговата верига за атака, която те решиха да оставят така: фактът, че Lua файловете на Cortex се съхраняват изцяло в обикновен текст, без никакво криптиране, въпреки изключително чувствителния им характер.

Това изглежда обезпокоително, но в действителност криптирането не би било кой знае какво възпиращо средство за нападателите, така че след като обсъдиха въпроса, той и компанията за сигурност се съгласиха, че не е необходимо да променят това. Както отбелязва той, „XDR в крайна сметка трябва да разбере какво да прави. Така че дори да е криптиран, в някакъв момент от работата си ще трябва да декриптира тези файлове, за да ги прочете. Така че тогава нападателите биха могли просто да уловят съдържанието на файловете. Това ще бъде още една стъпка за мен, за да прочета тези файлове, но все пак мога да ги прочета“.

Той също така казва, че други платформи XDR вероятно са податливи на същия вид атака.

„Другите XDR може би ще приложат това по различен начин“, казва той. „Може би файловете ще бъдат криптирани. Но без значение какво ще направят, винаги мога да го заобиколя.“

Източник: DARKReading

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
14 юни 2024

Как да повишим киберсигурността на компаниите з...

Технологичният пейзаж се променя бързо, което поставя нови предизви...

Заплахата от подмяна на SIM карти продължава

Въпреки че измамите с подмяна на SIM карти или смяна на SIM карти с...
Бъдете социални
Още по темата
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
14/06/2024

Как да повишим киберсигурно...

Технологичният пейзаж се променя бързо, което...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!