首页 > 其他分享 >【攻防系列】揭秘黑客如何绕过EDR/XDR系统及应对策略

【攻防系列】揭秘黑客如何绕过EDR/XDR系统及应对策略

时间:2024-08-10 10:38:23浏览次数:14  
标签:响应 检测 EDR 规避 黑客 XDR 攻击者 警报

在面对日益复杂的网络威胁时,许多企业依赖端点检测与响应和扩展检测与响应系统,然而,全球调查表明,黑客们越来越善于规避这些防御系统,给企业带来巨大挑战。

本文深入分析了攻击者绕过端点检测与响应和扩展检测与响应系统的三大关键环节——观察、检测和响应,并提供了详细的应对策略。

攻击者靠规避你的EDR/XDR系统谋生,下文介绍了他们如何在三个关键点绕过或逃避你的防御。

最近的一项全球调查指出,CISO及其企业可能过于依赖端点检测与响应(EDR)和扩展检测与响应(XDR)系统,因为攻击者越来越多地规避了这些系统。

这部分是因为规避EDR/XDR系统一直以来并将继续是现代对手的基本要求。“规避”通常用来描述防御反应未被观察到的情况。虽然技术上准确,但这种缺乏具体性的描述阻碍了网络安全专业人士准确定位补救措施,例如,修复检测逻辑错误与XDR平台中缺少遥测数据的情况大不相同。

为了更好地理解攻击者如何规避EDR/XDR系统,以及更重要的,在发生规避后应该采取什么措施,我们需要了解规避发生的三个领域:观察检测响应预防

攻击者在观察阶段如何规避XDR

XDR系统的核心是从各种来源(如端点的操作系统或云提供商)获取事件,这些事件通常称为遥测数据,构成了检测的基础。XDR只能检测到系统能够提供和收集的数据,第一种规避类型发生在XDR未收到其需要的事件来检测恶意行为时。

这种规避有几个常见原因,首先,也是我认为最“纯粹”的技术规避,是对手的行动未生成相关的遥测数据,相关是指系统上每个动作都会生成一定量的遥测数据,但这些事件可能对创建有效检测没有用,可以将其视为系统中缺失的事件源,而不是XDR的缺陷。

接下来是系统生成了遥测数据但未被XDR接收的情况,XDR可以订阅数千个事件源,供应商的工作是决定哪些事件源是满足检测需求所必需的,例如,如果XDR供应商特别关注检测与Active Directory相关的行为,他们会优先收集来自AD的事件,而不是网络流量。不收集某些类型的事件,无论是有意为之还是无意为之,都会在XDR对某些技术的覆盖范围内产生可利用的漏洞。

最后,对手可能会主动干扰XDR代理,使事件无法发送到负责收集和关联的集中服务器,这种干扰有多种形式,包括停止或卸载代理、阻止与服务器的通信(例如,通过修改基于主机的防火墙)或篡改传感器(例如,禁用AMSI)。

总体而言,这些问题反映了XDR开发者的失败。如果由于代理程序未收集相关遥测数据而导致攻击被遗漏,供应商是唯一能够解决此问题的实体,因为这涉及添加新的遥测源或扩展/丰富现有的遥测源。在代理程序受到干扰的情况下,供应商应实施防篡改措施,以防止他们能防止的干扰,并检测无法合理防止的干扰。对于每个安全团队来说,这些问题是最难解决的,因为他们实际上除了求助于XDR供应商外别无他法。

攻击者如何在检测过程中规避XDR

当大多数人谈论规避XDR时,他们几乎总是指绕过XDR中的检测逻辑。检测本身只是评估一个事件或一组事件以确定是否存在某些可能表明恶意行为的条件的方式,这些检测查询或规则可以是精确的,意味着它们针对通常对某个恶意软件或攻击工具(例如Mimikatz的命令行参数)独有的特定属性,或者是鲁棒的,意味着它们针对的是多个恶意软件样本或工具共享的行为。

两种类型的检测都有其缺陷。精确检测易于被规避,因为它们通常过于具体,这意味着对目标样本的任何修改都会导致误报,例如,攻击者修改Mimikatz的参数字符串,将“sekurlsa::logonpasswords”变成“nothings::happening_here”,从而打破针对攻击者控制字符串的脆弱检测逻辑。

尽管鲁棒检测表面上看起来不那么容易被规避,但它们因误报而臭名昭著,这会导致规则中的排除项被攻击者利用。一个实际中的例子是,将Chrome更新进程“GoogleUpdate.exe”排除在凭证转储检测之外,因为其正常操作涉及打开本地安全机构子系统服务(LSASS)进程的特权句柄。此排除项允许攻击者冒充更新助手或注入其中以提取凭证而不被检测到,尽管XDR收集的事件中存在所有行为模式。

这些规避手段利用了EDR检测中的逻辑问题,无论这些检测是由供应商提供还是由内部检测工程师编写的。对技术或过程的理解不完善、检测瓶颈、为了使检测在生产环境中可行而做出的妥协以及XDR中次优的遥测数据导致的弱检测逻辑在端点保护领域是司空见惯的。

解决这些问题的方法是弥合这些逻辑差距,但不幸的是,在实际环境中,这并不总是可能的。有时我们必须接受某种程度的脆弱性,以快速生成针对新兴威胁的检测,但这些精确检测应辅以鲁棒检测,以捕捉不可避免的漏报。

鲁棒检测几乎总是需要一定程度的排除项,以避免安全团队被警报淹没,但这些排除项应尽可能少,并不断评估以确定它们是否需要继续存在于生产环境中。实际上,检测工程从检测进入生产环境的那一刻起,就进入了一个永无止境的调整和优化阶段,其唯一目标是使检测尽可能具有弹性,同时保持在团队可以容忍的误报和漏报范围内。

攻击者在响应和预防过程中如何规避XDR

最后一种规避类型集中在当发生真正的正面警报时应进行的调查过程中的漏洞。响应警报的过程因企业而异,但通常包括分诊、调查和响应阶段,这个过程的复杂性带来了许多不同的故障点。

在一个普通的SOC(安全运营中心)工作流程中,规避行为可能发生的第一个机会是在分诊阶段。在此阶段,一名一级分析师收到警报并错误地将其标记为误报,这导致尽管XDR发挥了作用,但该行为仍未被注意到,这种失败可能源于警报疲劳,导致分析师为了减少警报队列而错误地压制警报,或者是因为缺乏对检测目的和信息含义的理解。解决这一失败点通常涉及通过减少误报(如前文所述,减少误报本身也存在问题)来进行队列和疲劳管理,以及通过更好的文档和教育来提升分析师对检测的理解。

接下来是调查阶段,该阶段发生在确认真正的正面警报之后,涉及次级信息收集,以更具体地确定警报是否值得升级为全面事件,这个过程通常是手动的,需要熟练的分析师对相关系统进行质询并提取支持信息,例如文件系统上遗留的痕迹信息。

在这里,有很多与调查人员的技能和对手有关的失败点。如果分析师需要检查磁盘上的文件,但对手已预先将其删除怎么办?如果需要内存取证,但对手已重启系统怎么办?如果对手采用了调查人员不熟悉的技术,导致他们遗漏了攻击者留下的痕迹怎么办?解决这些失败点需要强有力的支持文档,例如在怀疑有真正正面警报时应收集什么信息以及这些信息的含义。

最后是响应阶段,这发生在警报被确认为真正正面并宣布为事件之后,涉及驱逐威胁行为者。在确定事件范围(涉及多少系统、用户等)之后,安全团队有多种清除攻击者的选项,从简单地重启主机以清除驻留在内存中的恶意软件,到像销毁整个环境这样极端的措施。在这个阶段,成功是二元的——要么完全驱逐对手,要么没有。

我在红队工作时遇到的这个阶段最大的错误是防御团队错误地确定了事件范围,导致驱逐不完全,使我们在环境中持续存在了近18个月(我们最终被踢出是因为我们驻留的服务器被他们的IT团队在技术生命周期升级过程中退役)。改进响应过程以减少对手规避驱逐的机会归结于拥有经过演练的可靠流程、识别妥协范围的能力以及验证对手完全根除的能力。

文档

详细描述XDR规避行为使我们能够更好地识别检测管道中的哪个组件失效,更重要的是,我们可以采取什么措施来修复它。大多数规避行为可以分为观察(XDR是否发现了恶意行为)、检测(XDR是否将行为正确识别为恶意)或响应(该行为是否导致安全团队采取了适当的响应)。在下次遇到规避行为时,推动使用更具描述性的语言,并看看可以对你的补救过程进行哪些改进。

来源:企业网D1Net

标签:响应,检测,EDR,规避,黑客,XDR,攻击者,警报
From: https://www.cnblogs.com/o-O-oO/p/18352034

相关文章

  • Windows出大事,超高危漏洞 + 降级攻击风险;“0.0.0.0日”漏洞卷土重来,盯上MacOs和Linux;
    新闻1:警告!18年前的浏览器漏洞卷土重来,MacOS和Linux设备面临威胁!网络安全研究人员发现了一个新的“0.0.0.0日”漏洞,该漏洞影响所有主流网络浏览器,恶意网站可能会利用该漏洞侵入本地网络。OligoSecurity的研究员AviLumelsky表示,这一严重漏洞“暴露了浏览器处理网络请求时......
  • 2024黑客从零基础入门到精通(超详细),看完这一篇就够了
    首先要明白啊,我们现在说的黑客不是那种窃取别人信息、攻击别人系统的黑客,说的是调试和分析计算机安全系统的网络安全工程师。黑客技术的核心就是渗透攻防技术,是为了证明网络防御按照预期计划正常运行而提供的一种机制。就是通过模拟恶意黑客的攻击方法,来评估计算机网络系统......
  • 我现在是一个程序员,如果想成为一个黑客,需要多久时间?
    黑客,在没有学习编程的人眼中,是无所不能的存在,盗密码,黑网站,网络入侵,偷取数据等,一台电脑,全部搞定!而且很多同学的话开始学习编程的原因就是被黑客的这个技术所吸引的。说起来,好像笔者当年也觉得黑客很厉害,所以的话多多少少我成为C/C++工程师也是有以前的因素的影响,不过后来接触......
  • jeecg-vue3, BasicTable与抽屉useDrawer()的简单使用
    需求:分屏情况下,根据传入参数不同查看申请材料1.实现效果点击申请材料弹出,点击取消或点击空白处,抽屉消失2.代码实现2.1files.vue实现<template><divclass="container"><a-button@click="click('sqcl')"style="margin-left:5px;">申请材料</a-b......
  • 八个合法学习黑客技术软件,让你从萌新到大佬!
    八个合法学习黑客技术软件,让你从萌新到大佬!但是不能乱用哦~所有工具下载方法文章末尾提供01Hackingloops这是一个博客网站,主要面向初级水平的黑客。网站上有许多非常有用的工具以及检验分享,包括渗透测试、测试实践、移动黑客等。02XCTF_OJ一个免费的在线网络安全......
  • 保护您的网络:深入分析国外黑客的网络攻击方法和防御策略
    正文:网络安全一直是各行业和个人关注的热点问题。国外黑客以其高超的技术和狡猾的手段,成为网络安全的威胁之一。本文将深入分析国外黑客的网络攻击方法,并提供一些防御策略,助您保护网络安全。一、网络攻击方法钓鱼攻击:黑客通过制作虚假的登录页面或电子邮件,诱骗用户泄露个人......
  • Spacedrive:开启个人云存储新纪元
     在这个数字化的时代,我们每个人都是一个信息的创造者和消费者。但你有没有想过,如何更高效、更安全地管理我们日益增长的数字资产?今天,我要向你介绍一个革命性的解决方案——Spacedrive,一个开源的跨平台文件管理系统,它将彻底改变我们对文件存储的认知。01.个人分布式云的诞生......
  • 022.(附加)chromedriver编译-绕过selenium机器人检测
    有小伙伴说使用selenium没能绕过机器人检测,盘他。一、selenium简介Selenium是一个强大的工具,用于Web浏览器自动化,更常被用于爬虫但selenium需要通过webdriver来驱动chrome,每次运行selenium时,都要先找到对应版本的chromedriver.exe。chromedriver自动化会对浏览器的部分属......
  • 网络安全(黑客)——自学2024
    一、什么是网络安全网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为......
  • 2024年网络安全学习指南!详尽路线图,从零基础到黑客高手的进阶之路!_网络安全自学路线图
    零基础小白,到就业!入门到入土的网安/黑客学习路线!建议的学习顺序:一、网络安全学习普法(心里有个数,要进去坐几年!)1、了解并介绍《网络安全法》2、《全国人大常委会关于维护互联网安全的决定》3、《中华人民共和国计算机信息系统安全保护条例(2011年修正)》4、《中华人民共......