【安全圈】研究者把 EDR 安全工具改造成超级恶意软件

关键词

EDR/XDR 是当前流行的网络安全解决方案，在高级威胁检测中发挥着重要作用，监控着数以百万计的端点和服务器。然而，权力越大，责任越大，这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“，用来部署勒索软件、窃取机密信息，而且难以被发觉和删除。

近日，安全研究员 Shmuel Cohen 在 Black Hat Asia 大会上展示了如何用逆向工程破解 Palo Alto Networks 的 Cortex XDR 安全软件，并将其转换为隐蔽持久的“超级恶意工具“，用于部署后门程序和勒索软件。这一发现凸显了 EDR/XDR 等强大安全工具的潜在风险，也为网络安全防御敲响了警钟。

XDR（Extended Detection and Response）是一种集成了威胁检测、调查和响应功能的安全解决方案，能够为企业提供全面的安全防护。然而，强大的功能也伴随着潜在的风险。Shmuel Cohen 的研究表明，EDR/XDR 本身也可能成为攻击者的目标，被用来实施恶意攻击。

Cohen 通过逆向工程和分析 Cortex XDR 软件，发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了 Cortex XDR 的安全机制（包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护）。

具体来说，Cohen 做到以下几件事：

1. 修改了 XDR 的安全规则，使其无法检测到他的恶意活动。

2. 部署了后门程序，使他能远程控制受感染的计算机。

3. 植入了勒索软件，向受害者索取赎金。

4. 敏感用户账号泄露

5. 在系统中长期驻留（无法从管理界面远程删除）

6. 整机加密（FUD）

7. 完整的 LSASS 内存转储

8. 隐藏恶意活动通知

9. 绕过 XDR 管理员密码

10. 全面利用XDR 实施攻击

Cohen 指出，虽然 Palo Alto Networks 与其合作修复了漏洞并发布补丁程序，但其他 XDR 平台也很可能存在类似的漏洞，容易受到攻击。

Cohen 的攻击证明，即使是像 Palo Alto Cortex XDR 这样的知名安全软件也并非绝对安全。

安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落。

例如，为了跨 IT 系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除。

这意味着一旦攻击者能够利用安全软件的漏洞，就可将其变成杀伤力极大的攻击武器。因此，企业在部署 EDR/XDR 等安全解决方案时，需要提高警惕，加强安全管理，并定期进行安全评估和漏洞修复。