Organisasi membelanjakan berbilion-bilion untuk pertahanan perisian hasad yang mudah dipintas

Imej Getty / Aurich Lawson

Tahun lepas, organisasi membelanjakan $2 bilion untuk produk yang menyediakan Pengesanan dan Respons Titik Akhir, jenis perlindungan keselamatan yang agak baharu untuk mengesan dan menyekat peranti bersambung rangkaian yang menyasarkan perisian hasad. EDR, seperti yang biasa dipanggil, mewakili pendekatan yang lebih baharu untuk pengesanan perisian hasad. Analisis statik, satu daripada dua lagi kaedah tradisional, mencari tanda-tanda yang mencurigakan dalam DNA fail itu sendiri. Analisis dinamik, kaedah lain yang lebih mantap, menjalankan kod yang tidak dipercayai di dalam “kotak pasir” yang selamat untuk menganalisis perkara yang dilakukan untuk mengesahkan ia selamat sebelum membenarkan ia mempunyai akses sistem penuh.

EDR—yang diramalkan menjana pendapatan sebanyak $18 bilion menjelang 2031 dan dijual oleh berpuluh-puluh syarikat keselamatan—mengambil pendekatan yang sama sekali berbeza. Daripada menganalisis struktur atau pelaksanaan kod lebih awal, EDR memantau tingkah laku kod semasa ia berjalan di dalam mesin atau rangkaian. Secara teorinya, ia boleh menutup serangan perisian tebusan yang sedang berjalan dengan mengesan bahawa proses yang dilaksanakan pada ratusan mesin dalam tempoh 15 minit yang lalu sedang menyulitkan fail secara beramai-ramai. Tidak seperti analisis statik dan dinamik, EDR adalah serupa dengan pengawal keselamatan yang menggunakan pembelajaran mesin untuk memantau dalam masa nyata aktiviti di dalam mesin atau rangkaian.

1661893852 876 Organisasi membelanjakan berbilion bilion untuk pertahanan perisian hasad yang mudah dipintas

Nohl dan Gimenez

Memperkemas pengelakan EDR

Di sebalik buzz mengelilingi EDR, penyelidikan baharu menunjukkan bahawa perlindungan yang mereka berikan tidak begitu sukar untuk dielakkan oleh pembangun perisian hasad yang mahir. Malah, penyelidik di sebalik kajian menganggarkan pengelakan EDR hanya menambah satu minggu tambahan masa pembangunan kepada jangkitan biasa rangkaian organisasi yang besar. Ini kerana dua teknik pintasan yang agak asas, terutamanya apabila digabungkan, nampaknya berfungsi pada kebanyakan EDR yang tersedia dalam industri.

“Pengelakan EDR didokumentasikan dengan baik, tetapi lebih sebagai kerajinan daripada sains,” Karsten Nohl, ketua saintis di SRLabs yang berpangkalan di Berlin, menulis dalam e-mel. “Apa yang baharu ialah pandangan bahawa menggabungkan beberapa teknik terkenal menghasilkan perisian hasad yang mengelak semua EDR yang kami uji. Ini membolehkan penggodam menyelaraskan usaha mengelak EDR mereka.”

Kedua-dua apl berniat jahat dan jinak menggunakan perpustakaan kod untuk berinteraksi dengan kernel OS. Untuk melakukan ini, perpustakaan membuat panggilan terus ke kernel. EDR berfungsi dengan mengganggu aliran pelaksanaan biasa ini. Daripada memanggil kernel, perpustakaan mula-mula memanggil EDR, yang kemudiannya mengumpul maklumat tentang program dan tingkah lakunya. Untuk mengganggu aliran pelaksanaan ini, EDR sebahagiannya menulis ganti perpustakaan dengan kod tambahan yang dikenali sebagai “cangkuk”.

Nohl dan rakan penyelidik SRLabs Jorge Gimenez menguji tiga EDR yang digunakan secara meluas yang dijual oleh Symantec, SentinelOne dan Microsoft, satu persampelan yang mereka percaya secara adil mewakili tawaran dalam pasaran secara keseluruhan. Yang mengejutkan penyelidik, mereka mendapati bahawa ketiga-tiga telah dipintas dengan menggunakan satu atau kedua-duanya daripada dua teknik pengelakan yang agak mudah.

Teknik-teknik menyasarkan mata kail yang digunakan oleh EDR. Kaedah pertama merangkumi fungsi cangkuk dan sebaliknya membuat panggilan sistem kernel terus. Walaupun berjaya terhadap ketiga-tiga EDR yang diuji, pengelakan cangkuk ini berpotensi menimbulkan syak wasangka sesetengah EDR, jadi ia tidak mudah.

1661893852 672 Organisasi membelanjakan berbilion bilion untuk pertahanan perisian hasad yang mudah dipintas

Nohl dan Gimenez

Teknik kedua, apabila dilaksanakan dalam a perpustakaan pautan dinamik fail, juga berfungsi terhadap ketiga-tiga EDR. Ia melibatkan penggunaan hanya serpihan fungsi cangkuk untuk mengelakkan daripada mencetuskan cangkuk. Untuk melakukan ini, perisian hasad membuat panggilan sistem tidak langsung. (Teknik ketiga yang melibatkan fungsi melepaskan cangkuk berkesan terhadap satu EDR tetapi terlalu mencurigakan untuk menipu dua subjek ujian yang lain.)

1661893852 193 Organisasi membelanjakan berbilion bilion untuk pertahanan perisian hasad yang mudah dipintas

Nohl dan Gimenez

Dalam makmal, penyelidik membungkus dua keping perisian hasad yang biasa digunakan—satu dipanggil Cobalt Strike dan satu lagi Perak—di dalam kedua-dua fail .exe dan .dll menggunakan setiap teknik pintasan. Salah satu EDRS—penyelidik tidak mengenal pasti yang mana satu—gagal mengesan mana-mana sampel. Dua EDR yang lain gagal mengesan sampel yang datang daripada fail .dll apabila mereka menggunakan salah satu teknik. Untuk langkah yang baik, para penyelidik juga menguji penyelesaian antivirus biasa.

1661893852 65 Organisasi membelanjakan berbilion bilion untuk pertahanan perisian hasad yang mudah dipintas

Nohl dan Gimenez

Para penyelidik menganggarkan bahawa masa garis dasar biasa yang diperlukan untuk kompromi perisian hasad bagi rangkaian korporat atau organisasi utama ialah kira-kira lapan minggu oleh sepasukan empat pakar. Walaupun pengelakan EDR dipercayai memperlahankan proses, pendedahan bahawa dua teknik yang agak mudah boleh memintas perlindungan ini dengan pasti bermakna bahawa pembangun perisian hasad mungkin tidak memerlukan banyak kerja tambahan seperti yang dipercayai oleh sesetengah pihak.

“Secara keseluruhan, EDR menambah kira-kira 12 peratus atau satu minggu usaha penggodaman apabila menjejaskan sebuah syarikat besar-dinilai daripada masa pelaksanaan biasa latihan pasukan merah, ” tulis Nohl.

Para penyelidik membentangkan penemuan mereka minggu lepas di persidangan keselamatan Hack in the Box di Singapura. Nohl berkata pembuat EDR harus menumpukan pada mengesan tingkah laku berniat jahat secara lebih umum dan bukannya mencetuskan hanya pada tingkah laku tertentu alat penggodaman yang paling popular, seperti Cobalt Strike. Terlalu fokus pada tingkah laku khusus ini menjadikan pengelakan EDR “terlalu mudah untuk penggodam yang menggunakan alat yang lebih khusus,” tulis Nohl.

“Pelengkap kepada EDR yang lebih baik pada titik akhir, kami masih melihat potensi dalam analisis dinamik dalam kotak pasir,” tambahnya. “Ini boleh dijalankan dalam awan atau dilampirkan pada gerbang e-mel atau proksi web dan menapis perisian hasad sebelum ia mencapai titik akhir.”

We wish to say thanks to the writer of this write-up for this outstanding web content

Organisasi membelanjakan berbilion-bilion untuk pertahanan perisian hasad yang mudah dipintas


You can view our social media profiles here , as well as additional related pages here.https://paw6.info/related-pages/