Креативно използване на софтуера за разширено откриване и реагиране (XDR) на Palo Alto Networks може да позволи на нападателите да го използват като злонамерен мултифункционален инструмент.
В брифинг на Black Hat Asia тази седмица Шмуел Коен, изследовател по сигурността в SafeBreach, описа как не само е направил обратен инженеринг и пробив в подписания продукт Cortex на компанията, но и го е въоръжил, за да разположи обратна обвивка и рансъмуер.
Всички слабости, свързани с неговия експлойт, с изключение на една, вече са отстранени от Palo Alto. Все още не е ясно дали други подобни решения XDR са уязвими на подобна атака.
Дяволска сделка в киберсигурността
Когато става въпрос за използване на някои видове широкообхватни инструменти за сигурност, неизбежно се стига до дяволска сделка. За да могат тези платформи да си вършат работата, те трябва да получат високо привилегирован достъп до всяко кътче в системата.
Например, за да извършва мониторинг в реално време и откриване на заплахи в ИТ екосистемите, XDR изисква възможно най-високи разрешения и достъп до много чувствителна информация. И освен това не може да бъде лесно премахнат. Именно тази огромна власт, с която разполагат тези програми, вдъхнови Коен за една извратена идея.
„Помислих си: Възможно ли е да превърнем самото EDR решение в зловреден софтуер?“ разказва Коен пред Dark Reading. „Бих взел всички тези неща, които има XDR, и бих ги използвал срещу потребителя“.
След като избрал лабораторен обект – Cortex – той започнал да прави обратен инженеринг на различните му компоненти, опитвайки се да разбере как той определя кое е и кое не е злонамерено.
Лампичката светнала, когато открил поредица от файлове с обикновен текст, на които програмата разчитала повече от повечето.
Как да превърнете XDR в зло
„Но тези правила са в моя компютър“, помисли си Коен. „Какво ще стане, ако ги премахна ръчно?“
Оказва се, че Palo Alto вече са помислили за това. Механизъм за борба с фалшифицирането не позволяваше на никой потребител да докосва тези ценни Lua файлове – само че механизмът имаше ахилесова пета. Той работеше, като защитаваше не всеки отделен Lua файл по име, а папката, която ги съдържаше. Тогава, за да достигне до желаните файлове, нямаше да се налага да отменя механизма против подправяне, ако просто можеше да пренасочи пътя, използван за достигането им, и да заобиколи механизма изцяло.
Обикновен пряк път вероятно нямаше да е достатъчен, затова той използва твърда връзка: начинът на компютъра да свърже името на файла с действителните данни, съхранявани на твърдия диск. Това му позволи да насочи новия си файл към същото място на диска, където са и файловете Lua.
„Програмата не знаеше, че този файл сочи към същото място на твърдия диск като оригиналния Lua файл, и това ми позволи да редактирам оригиналния файл със съдържание“, обяснява той. „Затова създадох твърда връзка към файловете, редактирах и премахнах някои правила. И видях, че като ги премахнах – и направих друго малко нещо, което накара приложението да зареди нови правила – можех да заредя уязвим драйвер. И оттам нататък целият компютър беше мой.“
След като придобива пълен контрол в своята доказателствена атака, Коен си спомня: „Това, което направих първо, беше да променя паролата за защита на XDR, така че да не може да бъде премахната. Също така блокирах всякаква комуникация с неговите сървъри“.
Междувременно: „Всичко изглежда така, сякаш работи. Мога да скрия злонамерените действия от потребителя. Дори за действие, което би било предотвратено, XDR не предоставя известие. Потребителят на крайната точка ще вижда зелените знаци, които показват, че всичко е наред, докато отдолу аз изпълнявам своя зловреден софтуер.“
Зловредният софтуер, който е решил да стартира, първо, е обратна обвивка, позволяваща пълен контрол върху целевата машина. След това той успешно разгърнал ransomware, точно под носа на програмата.
Поправката, която Palo Alto не направи
Palo Alto Networks се отзова на изследванията на Коен и работи в тясно сътрудничество с него, за да разбере експлойта и да разработи корекции.
Имаше обаче една уязвимост в неговата верига за атака, която те решиха да оставят така: фактът, че Lua файловете на Cortex се съхраняват изцяло в обикновен текст, без никакво криптиране, въпреки изключително чувствителния им характер.
Това изглежда обезпокоително, но в действителност криптирането не би било кой знае какво възпиращо средство за нападателите, така че след като обсъдиха въпроса, той и компанията за сигурност се съгласиха, че не е необходимо да променят това. Както отбелязва той, „XDR в крайна сметка трябва да разбере какво да прави. Така че дори да е криптиран, в някакъв момент от работата си ще трябва да декриптира тези файлове, за да ги прочете. Така че тогава нападателите биха могли просто да уловят съдържанието на файловете. Това ще бъде още една стъпка за мен, за да прочета тези файлове, но все пак мога да ги прочета“.
Той също така казва, че други платформи XDR вероятно са податливи на същия вид атака.
„Другите XDR може би ще приложат това по различен начин“, казва той. „Може би файловете ще бъдат криптирани. Но без значение какво ще направят, винаги мога да го заобиколя.“
