2022年1月份的一篇研究論文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》,一個(gè)希臘學(xué)者團(tuán)隊(duì)測試了當(dāng)今18家頂級(jí)網(wǎng)絡(luò)安全公司的端點(diǎn)檢測和響應(yīng)(EDR)軟件,發(fā)現(xiàn)許多軟件未能檢測到高級(jí)持續(xù)威脅行為者(如國家支持的間諜組織和勒索軟件團(tuán)伙)使用的一些最常見的攻擊技術(shù)。
希臘雅典比雷埃夫斯大學(xué)的兩位學(xué)者George Karantzas和Constantinos Patsakis說:"我們的結(jié)果表明,EDR仍有很大的改進(jìn)空間,因?yàn)樽钕冗M(jìn)的EDR未能防止和記錄這項(xiàng)工作中報(bào)告的大部分攻擊。
1典型的攻擊場景
這項(xiàng)研究在去年發(fā)表的一篇題為 《針對(duì)高級(jí)持續(xù)性威脅攻擊媒介的終端檢測和響應(yīng)系統(tǒng)的實(shí)證評(píng)估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的論文中詳細(xì)介紹了EDR軟件,該軟件是經(jīng)典殺毒程序的演變,使用靜態(tài)和動(dòng)態(tài)分析方法來檢測惡意軟件,但也監(jiān)測、收集和匯總來自終端的數(shù)據(jù),試圖檢測依靠更隱蔽技術(shù)的惡意行為,如濫用合法應(yīng)用程序來實(shí)施攻擊。
今天,EDR結(jié)合了從靜態(tài)文件簽名規(guī)則到高級(jí)機(jī)器學(xué)習(xí)模塊的所有內(nèi)容,被認(rèn)為是安全軟件方面最頂端的解決方案。然而,它們并不完美。
Karantzas和Patsakis的研究旨在找出當(dāng)今一些最大公司的EDR在面對(duì)模擬常見APT殺傷鏈的各種簡單攻擊時(shí)的表現(xiàn)。
他們的工作包括購買一個(gè)成熟的過期域名來托管惡意軟件的有效載荷,用Let's Encrypt SSL證書來保護(hù)該域名,并托管攻擊中常用的四種類型的文件,如:
一個(gè)Windows控制面板的快捷方式文件(.cpl)。
一個(gè)合法的Microsoft Teams安裝程序(將加載一個(gè)惡意的DLL)。
一個(gè)未簽署的可移植可執(zhí)行文件(EXE)。
一個(gè)HTML應(yīng)用程序(HTA)文件。
一旦執(zhí)行,這四個(gè)文件都會(huì)濫用合法功能來加載和運(yùn)行Cobalt Strike Beacon后門。
這個(gè)攻擊鏈背后的想法是,這四個(gè)文件和Beacon后門是常規(guī)的有效載荷,通常是作為魚叉式網(wǎng)絡(luò)釣魚電子郵件活動(dòng)的一部分發(fā)送給受害者的,如果企業(yè)部署了EDR,那就都應(yīng)該檢測、阻止或至少提醒安全團(tuán)隊(duì)。
2已測試的EDR和結(jié)果
研究小組針對(duì)Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR軟件測試這些攻擊。結(jié)果見下表。
EDR | CPL | HTA | EXE | DLL |
BitDefender GravityZonePlus | × | × | √ | × |
Carbon Black Response | · | × | √ | √ |
Check Point Harmony | × | ◇ | × | √ |
思科AMP | × | × | √ | ⊙ |
Comodo OpenEDR | × | √ | × | √ |
CrowdStrikeFaleon | √ | √ | × | √ |
Elastic EDR | × | √ | √ | × |
F-Secure Elements 終端檢測和響應(yīng) | ◇ | + | √ | × |
FortiEDR | × | × | × | × |
微軟終端防御系統(tǒng) | ★ | × | × | √ |
Panda Adaptive Defense 360 | × | √ | ★ | √ |
Sentinel One (不含測試功能) | √ | √ | √ | × |
Sentinel One (含測試功能) | × | × | × | × |
Sophos Intercept X with EDR | × | × | √ | - |
Trend micro Apex One | · | · | √ | √ |
終端保護(hù) | ||||
ESET PROTECT Enterprise | × | × | √ | √ |
F-Secure Elements 終端: 保護(hù)平臺(tái) | √ | √ | √ | √ |
Kaspersky終端安全 | × | × | × | √ |
McAfee終端保護(hù) | × | × | √ | √ |
Symantec 終端保護(hù) | √ | × | √ | √ |
表:每個(gè)測試解決方案的攻擊匯總結(jié)果。
符號(hào):√:成功的攻擊,◇:成功的攻擊,引發(fā)了中級(jí)警報(bào),·:成功的攻擊,引發(fā)輕微警報(bào),★: 攻擊成功,發(fā)出警報(bào),◇:攻擊不成功,未發(fā)出警報(bào),×:攻擊失敗,發(fā)出警報(bào),+:在供應(yīng)商提供的兩個(gè)實(shí)驗(yàn)中,第一個(gè)實(shí)驗(yàn)在5小時(shí)后被檢測到,第二個(gè)實(shí)驗(yàn)在25分鐘后被檢測到,⊙:最初的測試由于文件簽名而被阻止,第二項(xiàng)測試在另一個(gè)應(yīng)用程序中成功。
結(jié)果顯示,在測試的EDR中,只有兩個(gè)產(chǎn)品對(duì)所有的攻擊載體都有全面的覆蓋,公司的防御系統(tǒng)起了作用。
研究小組認(rèn)為,這種情況下,EDR將面臨被攻擊者關(guān)閉或至少禁用其遙測功能,而防御者就會(huì)看不到受感染的系統(tǒng)上可能會(huì)發(fā)生的情況,這就允許威脅者準(zhǔn)備對(duì)本地網(wǎng)絡(luò)的進(jìn)一步攻擊。
但并不是所有的EDR都在這項(xiàng)實(shí)驗(yàn)中進(jìn)行了測試。
研究人員去年在Huntress實(shí)驗(yàn)室高級(jí)安全人員John Hammond的YouTube上發(fā)表的視頻中說,并不是所有的EDR供應(yīng)商都同意開放他們的產(chǎn)品進(jìn)行測試,甚至他們測試的18種產(chǎn)品中,有一些是在SOC和CERT團(tuán)隊(duì)等中介機(jī)構(gòu)的幫助下完成的。而他們的研究一經(jīng)上線,一些供應(yīng)商就主動(dòng)聯(lián)系并詢問有關(guān)情況以及他們可以改進(jìn)其產(chǎn)品的方法。
聯(lián)系我們索要詳細(xì)報(bào)告?!夺槍?duì)高級(jí)持續(xù)性威脅攻擊媒介的終端檢測和響應(yīng)系統(tǒng)的實(shí)證評(píng)估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》,詳細(xì)了解實(shí)驗(yàn)方法,步驟及結(jié)論。
3有效的加強(qiáng)防御的方案-移動(dòng)目標(biāo)防御技術(shù)
現(xiàn)有的安全防御理念,想的是怎么找到更多的漏洞,找到更多的特征,提高檢測的效率。特征庫可以從1G變到10G,但是對(duì)網(wǎng)絡(luò)安全的理念是沒有變化的。今天的安全模型優(yōu)先考慮監(jiān)控,檢測,預(yù)防和修復(fù),安全團(tuán)隊(duì)以靜態(tài)的基礎(chǔ)架構(gòu)為基礎(chǔ),防御千變?nèi)f化的攻擊方法,嚴(yán)重不對(duì)稱。攻擊者有足夠的時(shí)間研究靜態(tài)基礎(chǔ)設(shè)施和靜態(tài)的防御技術(shù)。所以隨著時(shí)間的增加,攻擊者攻擊一個(gè)目標(biāo),時(shí)間越長,攻擊難度越小,獲取更多架構(gòu)信息,攻擊經(jīng)驗(yàn)不斷累積。
移動(dòng)目標(biāo)防御技術(shù)是一種顛覆性的防御理念,不是優(yōu)化目前的防御方式。通過不斷變化攻擊面,不是讓終端產(chǎn)品沒有后門,沒有漏洞,而是把攻擊變成概率問題。讓攻擊者隨著攻擊時(shí)間越長,難度越大,大大增加了攻擊者攻擊的成本,扭轉(zhuǎn)了攻防不對(duì)稱的局面。
虹科提供的是基于移動(dòng)目標(biāo)防御(Moving Target Defense)技術(shù)的終端解決方案,可以阻止繞過NGAV、EDR和EPP的勒索軟件、零日,無文件攻擊,內(nèi)存攻擊等高級(jí)攻擊。我們的防御原理是:當(dāng)一個(gè)應(yīng)用程序加載到內(nèi)存空間時(shí),會(huì)對(duì)進(jìn)程結(jié)構(gòu)進(jìn)行變形,使內(nèi)存對(duì)攻擊者來說始終是不可預(yù)測的。應(yīng)用程序照常加載運(yùn)行,原始框架結(jié)構(gòu)會(huì)留作陷阱;攻擊目標(biāo)是原始框架結(jié)構(gòu),但是由于無法找到預(yù)期的和需要的資源而失敗。攻擊就被立即防御、捕獲和記錄,并帶有完整的取證細(xì)節(jié)。
4方案推薦
Morhpisec(摩菲斯)——在網(wǎng)絡(luò)安全的前沿
Morphisec(摩菲斯)作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者,已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案,每天保護(hù)800多萬個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊,這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)(EPP)未能檢測和/或阻止的。(例如,Morphisec客戶的成功案例,Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無法阻止的情況下,在第零日就被阻止的此類攻擊的例子包括但不限于:
勒索軟件(例如,Conti、Darkside、Lockbit)
后門程序(例如,Cobalt Strike、其他內(nèi)存信標(biāo))
供應(yīng)鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)
惡意軟件下載程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)
Morphisec(摩菲斯)為關(guān)鍵應(yīng)用程序,windows和linux本地和云服務(wù)器提供解決方案,2MB大小快速部署。
免費(fèi)的Guard Lite解決方案,將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。請(qǐng)聯(lián)系我們免費(fèi)獲??!
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3086瀏覽量
59472 -
EDR
+關(guān)注
關(guān)注
0文章
23瀏覽量
1967
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論