Organizace utrácejí miliardy za obranu proti malwaru, kterou lze snadno obejít

V loňském roce organizace utratily dvě miliardy dolarů za produkty, které poskytují detekci a reakci na koncové body, což je relativně nový typ bezpečnostní ochrany pro detekci a blokování malwaru zaměřeného na zařízení připojená k síti. EDR (Endpoint Detection and Response) představují novější přístup k detekci malwaru. Statická analýza, jedna ze dvou tradičnějších metod, hledá podezřelé znaky v DNA samotného souboru. Dynamická analýza, druhá zavedenější metoda, spouští nedůvěryhodný kód uvnitř zabezpečeného sandboxu a analyzuje, co dělá, aby potvrdila, že je bezpečný, než mu umožní plný přístup do systému.

EDR systémy – které podle prognóz vygenerují do roku 2031 tržby ve výši 18 miliard dolarů a prodávají je desítky bezpečnostních společností – používají zcela odlišný přístup. Namísto toho, aby analyzovaly strukturu nebo běh kódu předem, sledují EDR chování kódu v průběhu jeho běhu v počítači nebo síti. Teoreticky mohou ukončit probíhající útok ransomwaru tím, že zjistí, že proces spuštěný na stovkách počítačů v posledních 15 minutách hromadně šifruje soubory. Na rozdíl od statických a dynamických analýz se EDR podobá bezpečnostnímu „strážci“, který pomocí strojového učení sleduje v reálném čase aktivity uvnitř stroje nebo sítě.

Navzdory hypu kolem EDR nový výzkum naznačuje, že pro zkušené vývojáře malwaru není tak těžké ochranu, kterou poskytují, obejít. Výzkumníci, kteří za studií stojí, ve skutečnosti odhadují, že vyhnutí se EDR přidá k typické infekci velké sítě pouze jeden týden času na vývoj navíc. To proto, že se zdá, že na většinu dostupných EDR fungují dvě poměrně základní techniky obcházení, které lze pro větší efektivitu kombinovat.

„Vyhýbání se EDR je dobře zdokumentováno, ale je to spíše řemeslo než věda,“ napsal v e-mailu Karsten Nohl, hlavní vědecký pracovník berlínské společnosti SRLabs. „Novinkou je, že kombinací několika dobře známých technik vzniká malware, který se vyhýbá všem námi testovaným EDR. To hackerům umožňuje zefektivnit jejich úsilí o obcházení EDR.“

Škodlivé i neškodné aplikace používají k interakci s jádrem operačního systému knihovny kódu. Za tímto účelem knihovny volají přímo jádro. EDR fungují tak, že přeruší tento normální tok procesů. Místo volání jádra knihovna nejprve zavolá EDR, který pak shromažďuje informace o programu a jeho chování. Aby se tento průběh přerušil, EDR částečně přepisují knihovny dalším kódem známým jako „hooks“.

Nohl a jeho kolega ze SRLabs Jorge Gimenez testovali tři široce používané EDR prodávané společnostmi Symantec, SentinelOne a Microsoft, což je podle nich vzorek, který věrně reprezentuje nabídku na trhu jako celku. K překvapení výzkumníků zjistili, že všechny tři lze obejít pomocí jedné nebo obou poměrně jednoduchých technik.

První metoda obchází „hookovanou“ funkci a místo toho provádí přímé systémové volání jádra. Toto vyhnutí hooks je sice úspěšné proti všem třem testovaným EDR, ale má potenciál vzbudit podezření některých EDR, takže není pro útočníky spolehlivé.

Druhá technika, implementovaná v souboru dynamické linkované knihovny, fungovala rovněž proti všem třem EDR. Spočívá v použití pouze fragmentů funkcí s hooks, aby nedošlo k jejich spuštění. Za tímto účelem malware provádí nepřímá systémová volání. (Třetí technika zahrnující odpojení funkcí fungovala proti jednomu EDR, ale byla příliš nápadný na to, aby oklamala zbylé dva testovací subjekty.)

Výzkumníci v laboratoři zabalily dva běžně používané škodlivé programy – jeden s názvem Cobalt Strike a druhý Silver – do souborů .exe a .dll, přičemž použili každou z technik obcházení. Jeden ze systémů EDR – výzkumníci neuvádějí, který – nedokázal žádný ze vzorků detekovat. Další dva EDR nedokázaly detekovat vzorky, které pocházely ze souboru .dll, a to při použití obou technik. Pro jistotu výzkumníci otestovali také běžné antivirové řešení.

Výzkumníci odhadli, že typická základní doba potřebná pro kompromitaci velké podnikové nebo organizační sítě malwarem je asi osm týdnů. Ačkoli se předpokládá, že obcházení EDR tento proces zpomaluje, odhalení, že dvě relativně jednoduché techniky mohou tuto ochranu spolehlivě obejít, znamená, že vývojáři malwaru nemusejí vynaložit tolik práce navíc.

„Celkově přidávají EDR při napadení velké korporace asi 12 % nebo jeden týden hackerského úsilí – soudě podle typické doby provedení cvičení červeného týmu,“ napsal Nohl.

Výrobci EDR by se měli podle Nohla zaměřit spíše na obecnější detekci škodlivého chování než na spouštění pouze při specifickém chování nejoblíbenějších hackerských nástrojů, jako je například Cobalt Strike. Toto soustředění se na specifické chování způsobuje, že obcházení EDR je „pro útočníky používající customizované nástroje příliš snadné“, napsal Nohl.

„Jako doplněk k lepším EDR na koncových bodech stále vidíme potenciál v dynamické analýze v rámci sandboxů,“ dodal Nohl. „Ty mohou běžet v cloudu nebo být připojeny k e-mailovým branám či webovým proxy serverům a filtrovat malware ještě předtím, než se dostane do koncového bodu.“

Zdroj: Arstechnica.com