網(wǎng)絡(luò)攻擊者分分鐘可將流行的EDR工具變成極具破壞性的數(shù)據(jù)擦除工具

布加迪
許多備受信賴的端點(diǎn)檢測和響應(yīng)(EDR)技術(shù)可能存在著一個(gè)漏洞,使攻擊者得以操控產(chǎn)品,從而刪除已安裝系統(tǒng)上的幾乎所有數(shù)據(jù)。

QQ截圖20221206141445.png

本文來自嘶吼網(wǎng),作者/布加迪。

許多備受信賴的端點(diǎn)檢測和響應(yīng)(EDR)技術(shù)可能存在著一個(gè)漏洞,使攻擊者得以操控產(chǎn)品,從而刪除已安裝系統(tǒng)上的幾乎所有數(shù)據(jù)。

Or Yair是SafeBreach的一名安全研究人員,他發(fā)現(xiàn)了這個(gè)問題。他測試了多家供應(yīng)商提供的11款EDR工具,發(fā)現(xiàn)其中6款工具(共涉及四家供應(yīng)商)易受攻擊。這些易受攻擊的產(chǎn)品包括:微軟Windows Defender、Windows Defender for Endpoint、趨勢科技ApexOne、Avast Antivirus、AVG Antivirus和SentinelOne。

正式的CVE和補(bǔ)丁

在Yair于12月7日周三在黑帽歐洲大會(huì)上披露這個(gè)問題之前,三家供應(yīng)商已經(jīng)為這個(gè)漏洞賦予了正式的CVE編號(hào),并發(fā)布了補(bǔ)丁。

Yair在黑帽歐洲大會(huì)上發(fā)布了名為Aikido(“合氣道”)的概念驗(yàn)證代碼,他開發(fā)該代碼是為了演示數(shù)據(jù)擦除工具如何在僅僅獲得非特權(quán)用戶權(quán)限的情況下,操控一款易受攻擊的EDR擦除系統(tǒng)上的幾乎任何文件,包括系統(tǒng)文件。Yair在描述其在黑帽大會(huì)上的演講時(shí)聲稱:“我們能夠在進(jìn)行測試的一半以上的EDR和AV產(chǎn)品中利用這些漏洞,包括Windows上的默認(rèn)端點(diǎn)保護(hù)產(chǎn)品。很幸運(yùn),我們能在真正的攻擊者之前發(fā)現(xiàn)這一點(diǎn),因?yàn)橐坏┻@些工具和漏洞落入壞人之手,可能會(huì)釀成重大破壞。”他表示,面對(duì)成千上萬個(gè)運(yùn)行易受該漏洞利用代碼攻擊的EDR版本的端點(diǎn),數(shù)據(jù)擦除工具很有效。

Yair在接受IT安全外媒Dark Reading采訪時(shí)表示,他在7月至8月期間向幾家受影響的供應(yīng)商報(bào)告了該漏洞。他說:“我們在隨后的幾個(gè)月與它們密切合作,在發(fā)布該漏洞之前創(chuàng)建了一個(gè)修復(fù)程序。三家供應(yīng)商發(fā)布了新版本的軟件或補(bǔ)丁來解決這個(gè)漏洞。”他提到這三家供應(yīng)商是微軟、趨勢科技以及Gen(Avast和AVG產(chǎn)品的開發(fā)商)。他說:“截至今天,我們還沒有收到SentinelOne關(guān)于是否正式發(fā)布了修復(fù)程序的確認(rèn)。”

Yair稱該漏洞與一些EDR工具刪除惡意文件的方式有關(guān)。這個(gè)刪除過程中有兩個(gè)關(guān)鍵事件。一個(gè)是EDR檢測到某個(gè)文件是惡意文件的時(shí)間,另一個(gè)是實(shí)際刪除文件的時(shí)間,這有時(shí)需要重新啟動(dòng)系統(tǒng)。在這兩個(gè)事件的間歇當(dāng)中,攻擊者有機(jī)會(huì)使用所謂的NTFS連接點(diǎn)(NTFS junction point),指令EDR刪除一個(gè)與它確定為惡意的文件不同的文件。

NTFS連接點(diǎn)類似所謂的符號(hào)鏈接,符號(hào)鏈接是指向系統(tǒng)上其他位置的文件夾和文件的快捷方式文件,只不過連接點(diǎn)用于鏈接系統(tǒng)上不同本地卷上的目錄。

觸發(fā)問題

為了在易受攻擊的系統(tǒng)上觸發(fā)這個(gè)問題,Yair先創(chuàng)建了一個(gè)惡意文件——使用非特權(quán)用戶的權(quán)限,這樣EDR就會(huì)檢測到并試圖刪除該文件。然后他找到了一個(gè)法子,通過讓惡意文件保持打開的狀態(tài),迫使EDR推遲刪除,直止重新啟動(dòng)后再刪除。他的下一步操作是在系統(tǒng)上創(chuàng)建一個(gè)C:TEMP目錄,使其連接到另一個(gè)目錄,然后再做一番手腳,以便當(dāng)EDR產(chǎn)品試圖刪除惡意文件時(shí)(在重新啟動(dòng)后),它遵循一條完全不同的文件路徑。Yair發(fā)現(xiàn),他可以使用同樣這一招來刪除計(jì)算機(jī)上不同位置的多個(gè)文件,只需要?jiǎng)?chuàng)建一個(gè)目錄快捷方式,并將指向目標(biāo)文件的精心設(shè)計(jì)的路徑放在其中,以便EDR產(chǎn)品遵循這些路徑。

Yair表示,就一些接受測試的EDR產(chǎn)品而言,他無法任意刪除文件,而是可以刪除整個(gè)文件夾。

該漏洞影響推遲刪除惡意文件、直止系統(tǒng)重新啟動(dòng)后刪除的EDR工具。在這些情況下,EDR產(chǎn)品將惡意文件的路徑存儲(chǔ)在某個(gè)位置(這個(gè)位置因供應(yīng)商而異),并在重新啟動(dòng)后使用該路徑來刪除該文件。一些EDR產(chǎn)品并不檢查惡意文件的路徑在重新啟動(dòng)后是否指向相同的位置,這就就給了攻擊者可趁之機(jī),在路徑中間插入一個(gè)突然的快捷方式。他特別指出,這類漏洞屬于名為“檢查時(shí)間至使用時(shí)間“(TOCTOU)漏洞的這一類漏洞。

在大多數(shù)情況下,組織可以恢復(fù)被刪除的文件。因此,讓EDR自行刪除系統(tǒng)上的文件雖然不好,但并不是最壞的情況。刪除其實(shí)并不是擦除。為此,Yair設(shè)計(jì)了“合氣道”,這樣它可以覆蓋已刪除的文件,使刪除的文件也無法恢復(fù)。

Yair開發(fā)的漏洞利用工具是一個(gè)例子,表明了攻擊者用其人之道還治其人之身,就像合氣道這門武術(shù)一樣。EDR工具之類的安全產(chǎn)品在系統(tǒng)上擁有超級(jí)用戶權(quán)限,能夠?yàn)E用它們的攻擊者能夠以幾乎察覺不到的方式來執(zhí)行攻擊。他把這種做法比作攻擊者將以色列著名的“鐵穹”導(dǎo)彈防御系統(tǒng)改而變成了一條攻擊途徑。

本文翻譯自:https://www.darkreading.com/vulnerabilities-threats/cyberattackers-popular-edr-tools-destructive-data-wipers

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論