端點安全系統針對APT攻擊的實證評估(上)
George Karantzas 比雷埃夫斯大學信息工程系,希臘
Constantinos patsakis希臘雅典娜研究中心信息管理系統研究學所
寫在前面:本文發表于2022年1月11日。是來自希臘的兩位專家所做的產品安全測試。挑選了現在所有最主流的端點安全產品,評測他們對四類攻擊的反應。原文57頁,詳細介紹了攻擊過程,為簡要起見,省略了很多截圖,有興趣的同學可以查閱原文。本文涉及到很多具體的攻擊技術,如有不準確的地方,希望讀者及時指出,深表感謝。
原文網盤:https://pan.baidu.com/s/1fgr8D6pgcMGRgzNvmEePSA 提取碼: ufks
摘要
APT攻擊是藍隊面臨的嚴峻挑戰,因為攻擊者長時間使用各種攻擊方式,并阻礙事件關聯和檢測。本次工作中,我們利用各種不同的攻擊場景評估EDR和其他端點安全方案在APT檢測及阻止方面的效率。結果表明,仍有很大的改進空間,因為目前最先進的端點安全系統對本次測試中的大量攻擊,無法阻止和記錄日志。此外,我們討論篡改EDR遙測提供商的方法,允許對手執行更隱秘的攻擊。
1 介紹
網絡攻擊在復雜性和規模方面持續發展,世界經濟論壇認為在下一個十年,將是全球貿易的第二大最有威脅風險。由此產生的地下經濟,已經變得和國家的經濟規模相當。相比大多數“打一槍換一個地方”的試探性網絡攻擊,高級持續性威脅,以APT縮寫而廣為人知。在大多數網絡攻擊中,威脅攻擊者嘗試使用單一攻擊漏洞或機制,盡可能入侵更多的主機,盡快獲取存儲的信息和資源。然而APT攻擊,威脅攻擊者傾向于保持低調,通過各種攻擊方式,使用更多復雜入侵方法,延長控制入侵主機的時間,實際上,就像很多類似事件顯露的那樣,這個控制可能跨越好幾年。
由于他們的特點和影響,這些攻擊已經得到很多研究關注,因為多變的攻擊方式對傳統的安全機制帶來很多問題。例如,由于APT隱秘的特性,繞過了防病毒軟件,因此,需要更多先進的方法及時檢測他們。端點保護平臺(EPP)的目標就是阻止和緩解惡意軟件的安全威脅。更進一步,端點檢測和響應(EDR)系統對組織提供更全面的方法保證組織的安全,除了特征值之外,EDR關聯多個主機的信息和事件。來自端點可能被雷達忽略的單一事件,被收集、處理和關聯,幫助藍隊深入洞察組織邊界暴露的威脅。
盡管持續研究以及通過EPP和EDR部署了先進的安全機制,最近的事件表明,在這樣的攻擊面前,我們還遠遠達不到安全。既然APT攻擊不是那么常見,也不是所有細節都可以對公共分享,我們認為針對這種攻擊,評估安全機制的準備情況很有必要,特別是EDR,也包括一些EPP。最后,我們選擇在可控的環境中,模擬APT攻擊,使用一組符合這種攻擊模式的腳本,我們使用魚叉釣魚和惡意軟件來入侵一個組織,檢查攻陷標志和EDR的響應。總共準備了四個使用場景,足夠多樣性和指示性來說明好幾個邊界安全機制的弱點,主要和EDR相關。
綜上所述,我們工作的貢獻有兩方面。首先我們說明了盡管最新的EDR產品,在靜態和動態分析、還有多種日志收集機制上的進步,攻擊者仍然有很多方法發動一次成功的攻擊,而不會引起懷疑。就像將要討論的,一些EDR也許記錄攻擊的片段,但不意味這些日志會觸發報警。而且,即使觸發報警,也必須從安全運行中心(SOC)的角度考慮。實際上SOC收到多個報警,每個有著不同的嚴重級別,根據嚴重性被調查和排序,特別是當SOC中的報警數量高的時候,低嚴重性的警報可能會被雷達忽略,無法進行調查。此外我們還將討論如何篡改EDR遙測提供商,允許攻擊者隱藏攻擊和痕跡。據我們所知,在科學文獻中,還沒有對真實世界的EDR和EPP產品功效進行實證評估。也沒有以系統的方式,按照統一方法指出他們的潛在問題。除了科學文獻,我們認為最接近的工作是MITRE Engenuity;然而,我們的工作從攻擊者視角,提供了每一步的技術細節。此外,我們與已有的、使用和修改現成工具測試APT功能的報告不同。因此,這項工作是第一次進行這樣的評估。但無論如何這項工作不應作為任何特定EDR方案的安全投資指南。如同稍后討論的那樣,這項工作的成果試圖指出特定的具有代表性的攻擊方式,但無法掌握EDR可以緩解的所有可能攻擊整體情況。事實上,定制EDR規則可能會顯著改變他們的作用。然而,這取決于藍隊處理這些系統的經驗。
本工作的其他部分如下,在下一節中,我們將概述EDR和APT攻擊的相關工作,第三節我們介紹實驗設置和我們四種攻擊方式的技術細節。第四節,我們評測22種最新EDR產品,評估他們檢測和報告我們四種攻擊的有效性。接下來在第五部分,我們展示了對EDR遙測提供商的篡改攻擊和他們的影響。最后,文章總結了我們的工作,討論未來工作的想法。
2 相關工作
2.1 端點檢測和響應系統
端點檢測和響應(EDR),也稱之為端點威脅檢測和響應(ETDR),2013年由A. Chuvakin提出。顧名思義,這是一個不覆蓋網絡的端點安全機制。EDR從端點收集數據,并發送到中心數據庫存儲和處理。在那里,實時關聯收集的事件、二進制等,檢測和分析監控主機上的可疑行為。因此,EDR推動了SOC的功能,因為他們能發現緊急網絡威脅,并向用戶和應急響應團隊報警。
EDR特別依賴規則,因此機器學習或者AI逐漸找到他們的方法,在系統中推動發現新的特征值和關聯。EDR擴展了防病毒功能,因為一旦檢測到異常行為,EDR會觸發報警。由于并不只依靠特征值,所以EDR也能夠檢測未知威脅,并在產生破壞之前阻止他們。雖然根據行為特征檢測惡意行為聽起來非常理想,但也意味著許多誤報;正常的用戶行為被認為是惡意,因為EDR把準確性放在首位。因此,SOC必須處理海量的噪音,因為收到的許多報警都是錯誤的。這也是最近Hassan等人最近引入戰術出處圖(Tactical Provenance Graphs,TPG)的原因。他們對EDR威脅報警之間的因果依賴關系進行推理,改進了多級攻擊可視化。此外,他們的系統,RapSheet,具有完全不同的打分系統,顯著減少誤報率,最后,對特定威脅,EDR能執行修復或刪除任務。
盡管EDR在安全方面的顯著提升,但組織的整體安全高度依賴于人力因素。藍隊針對攻擊的預期結果,在事件響應中充分訓練的團隊和僅僅對檢測到的特定威脅進行響應及非常依賴單一安全工具輸出的團隊之間差別很大。兩個團隊都希望被EDR的遙測信息觸發,然后調查。既然藍隊的經驗和能力依賴超出我們工作范圍的多個因素,在本研究中,我們主要關注EDR的遙測技術,他們標記事件的意義,以及他們是否阻止了一些行為。
然而,我們強調不是所有的EDR允許同樣數量的定制化,也不允許實施同樣的策略。此外,藍隊無法擁有所有EDR產品的經驗,正確的配置他們,因為由于對平臺熟悉程度、營銷甚至客戶策略,每個團隊都只對部分方案非常專業。而且,不是所有藍隊面對同樣的威脅,這可能會顯著地影響藍隊在安裝里面包含的規則優先級,而不顧客戶的需求。上述構成了多個因素,本文無法完全覆蓋。相反,我們應該期望,當選擇所有可能的安全措施時 大多數EDR基線安全應或多或少相同。此外,希望即使EDR無法阻止一個攻擊,至少可以記錄這個動作,這樣可以過后處理。然而,我們的實驗表明,情況常常并非如此。
2.2 APT
APT被用來描述一個攻擊,威脅攻擊者對目標設施,建立了隱秘、長期的訪問。通常的目標是偷取數據,或者必要時破壞服務。這些攻擊和典型的“打一槍就跑“方式不同,他們也許會花費幾個月到幾年。攻擊由技術高超的團隊發動,或者是某個國家,或者是國家資助。
就像陳等人指出的,APT攻擊包含六個階段:1偵察和武器化;2投送工具;3初始入侵;4遠程命令和控制;5橫向移動;6數據偷取。作為這個模型的補充,其他的工作包括使用攻擊樹表示APT,并行采取其他方法,獲得目標系統的落腳點。因此除了異常行為檢查,常常使用信息流、以及異常檢測、沙盒、特征匹配和圖分析來檢測APT。后者表明EDR可以作為抵御APT的有效方式。
在許多這樣的攻擊中,攻擊者使用無文件攻擊,一種特殊類型的惡意軟件,因為在內存中運行,在目標系統上不留下任何惡意軟件痕跡。這背后的核心理念是受害者被引誘打開良性的二進制軟件,例如使用社交工程,這個二進制軟件用來執行一組惡意任務。事實上,在Windows上預安裝了很多二進制軟件和腳本,或由操作系統下載,具有數字簽名,或者通過了操作系統的白名單,可以執行一系列有漏洞的功能。由于得到了微軟的數字簽名,用戶賬戶控制(user account control ,UAC)允許他們執行很多任務,而不會對用戶報警。這些二進制和腳本常被稱為“本地生存“二進制和腳本,(Living off the land binaries and scripts,LOLBAS/LOLBINS)。
2.3 網絡殺傷鏈
網絡殺傷鏈是一個允許安全分析人員解構網絡攻擊的模型。盡管它的復雜性,形成相互不排他狀態。事實上每個階段彼此之間隔開,允許你單獨分析攻擊的每個階段,生成緩解措施和檢測規則,能加強本問題或類似問題下攻擊的防御機制。此外,藍隊必須解決一些更小的問題,一次一個,比面對一個大問題更有效率地使用資源。在網絡殺傷鏈模型中,我們認為攻擊者通過一系列有序步驟入侵網絡,攻擊的任何一步被阻斷,攻擊就難以成功。因此,我們上面提到的一小步對于抵御攻擊至關重要。越早阻止,影響越小。而且這個模型非常靈活,仍然不斷更新,適應更有針對性的用戶情況,例如內部網絡殺傷鏈處理內部惡意攻擊者的問題,如不滿意或不忠誠的員工。
MITRE的 ATT&CK是一個知識庫和模型,嘗試描述攻擊者在整個攻擊生命周期,從偵察到利用,到持續駐留和影響。最后,MITRE ATT&CK提供整體的方法,對攻擊者的手法、技術和步驟分類,從底層操作系統和基礎設施中抽象出來。基于此,使用MITRE ATT&CK,你能模擬攻擊場景或評估使用防御機制的效率。最近,Pols推出統一殺傷鏈,擴展和結合了網絡殺傷鏈和MITRE ATT&CK。統一殺傷鏈解決了上述方法沒有覆蓋的問題,對組織邊界之外的對手行為、用戶角色做了建模。
3 實驗環境
本部分詳細介紹EDR和EPP所做系列實驗的準備工作,因為我們的目標是生成準確和可重復結果。所以我們在需要時提供必要的代碼。為此,我們專門設計和運行實驗回答下列研究問題:
研究問題1:最新的端點安全系統能檢測常見的APT攻擊方法嗎?
研究問題2:最新端點安全系統有哪些盲點?
研究問題3:EDR和EPP報告了什么信息?哪些是重點?
研究問題4:如何降低報告事件的重要性,甚至阻止報告?
在本文中,我們對EDR產品的安全做了實證評估。根據最新的Gartner2021年報告來選擇測試對象。包括了市場上絕大多數領先的EDR廠家。意味著我們覆蓋了市場上有代表性、推動這個領域創新和發展的產品。在實驗中,我們使用最常見的C2框架-Cobalt Strike。不管是攻擊者還是紅隊,在入侵組織中都在大量使用這個軟件。
而且,我們使用成熟域,一個正確分類的過期域,指向托管Cobalt Strike team -server的VPS 服務器,這會減少懷疑,希望繞過一些我們以前經驗表明備用域名和過期域名的限制。使用Let’s encrypt 為C2通信申請有效的SSL證書,加密流量。
Cobalt Strike 在受攻擊的目標服務器上部署了一個名為“beacons“的客戶端代理軟件,允許攻擊者在目標主機上執行多個任務。我們的實驗中,使用Cobalt Strike 可定制 C2 配置,因為它修改了信標的指紋。這掩蓋了我們網絡的活動和我們惡意軟件的行為。
3.1 攻擊方式
我們構建了四個不同的真實場景來執行實驗,模擬攻擊者實際使用的方式。我們認為,一個EDR實證評估應該反映常見攻擊模式。既然APT攻擊小組最常使用的攻擊方式是電子郵件,作為社交工程或魚叉釣魚攻擊一部分,我們使用惡意軟件附件,欺騙受害目標運行文件。而且,我們應該考慮,由于EDR報告的誤報率中有很高噪音,最好考慮對每個事件打分。因此,在詳細的EDR設置中,我們盡量最小化我們行動的報告評分,使用這種方法,我們保證攻擊繞過雷達。
這些定好后,假設威脅攻擊者開始使用魚叉釣魚軟件攻擊,欺騙目標用戶打開文件或點擊鏈接,來入侵目標主機。為此,我們偽造一些包含云提供商的鏈接電子郵件,實際指向定制的惡意軟件。更準確地說,包括如下攻擊方式:
- .cpl文件:利用本地rundll32,可以雙擊來運行DLL文件。文件已經用CPLResourceRunner進行了偽裝。因此,使用shellcode存儲技術,其利用內存映射文件,通過委托(delegate)來觸發。
- 合法的Microsoft Team安裝來加載一個惡意DLL。這種方式,DLL side-loading將導致自我注入,允許我們“生存“在有簽名的二進制文件中,使用AQUARMOURY-Brownie完成這一步。
- 未簽名的PE執行文件;從現在起,可以看成EXE文件,使用AQUARMOURY 的“early bird”技術,執行進程注入到werfault.exe。為此,我們使用PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY標志,欺騙explorer.exe的父進程,以保護我們的惡意軟件不被Microsoft DLL event 標記為未簽名,EDR常常使用這一技術監控進程。
- HTA文件。一旦用戶訪問了包含IFrame無害HTML 頁面,他將被重定向,并提示運行包含可執行VBS代碼的HTML文件,加載定制的.NET 代碼,在mshta.exe 上下文環境中執行自我注入。(注:mshta.exe是微軟Windows操作系統相關程序,英文全稱Microsoft HTML Application,可翻譯為微軟超文本標記語言應用,用于執行.HTA文件。)
接下來,我們主要評估受到攻擊的EDR產品。毫無疑問,在企業環境中,您會希望更多的安全措施,例如防火墻,防病毒等。盡管提高了組織的整體安全,但他們的效果超出了本次工作的范圍。
3.2 代碼分析
接下來,我們詳述每種攻擊方式的技術方面。
3.2.1 HTA
我們使用C#和Gadget2JScript工具,生成序列化小工具(Gadget),可以在內存運行。使用ETWpCreateEtwThread執行shellcode,避免CreateThread()這樣的常見API。注意在后臺使用 RtlCreateUserThread。
3.2.2 EXE 文件
這個攻擊背后的主要想法是使用非常簡化的代碼注入,在main方法之前,使用QueueUserAPC() API執行我們的shellcode。啟動一個具有PPID欺騙的犧牲進程,并注入該進程。文件在匯編語言中直接使用系統調用,避免hook函數。需要注意的是Windows 錯誤報告服務(Windows Error Reporting service ,werfault)是一個特別理想的注入目標,因為一旦進程崩潰,werfault子進程就會出現,意味著父進程可以是任意的。這嚴重影響父-子進程關系調查。值得注意的是,一旦使用正確的標志,可以避免懷疑。
3.2.3 DLL 側載(sideloading)
本文中,我們使用brownie-koppeling 項目,從system32目錄中邪惡克隆合法DLL文件,并添加到Microsoft Team文件夾中,這樣我們的加密shellcode將在這個進程下被觸發。而且因為Microsoft Team把自己添加到開始啟動菜單中,給我們提供長期駐留目標主機的方法。注意EDR有時忽略自我注入,因為他們認為他們不會改變不同進程。
在圖5中,我們描述了shellcode的執行方法。這是一個經典的基于本地注入的CreateThread()方法,將在具有簽名和安全合法二進制進程下,啟動shellcode。不幸的是,本例中的唯一問題是DLL沒有簽名,也許會觸發防御機制。代碼示例中,可以看到使用virtualProtect()。這是為了避免直接分配RWX內存。
最后需要注意的是,在desktop文件夾,手動地安裝和執行測試。Microsoft Team 允許DLL劫持。
4 EDR 和EPP 評測
接下來,我們使用攻擊評測22款最新的EDR和EPP產品。對每一款EDR產品和它的特性做簡要總結。然后繼續說明開啟了哪個功能,討論在攻擊場景中,他們表現如何。被測產品按字母順序排列。
4.1 BitDefender GravityZone Plus
BitDefender GravityZone Plus是該公司的旗艦產品,包括EDR、EPP和沙盒功能。其高級情報引擎對常見遙測提供商最大化的使用堪稱典范,具有強大的控制臺,關聯多個信息,實現即時阻斷和修復。
4.1.1 CPL
這個攻擊作為一個Cobalt Strike行為報警被阻攔。
4.1.2 HTA
這種攻擊馬上被檢測為惡意軟件,被阻攔。
4.1.3 DLL
這個攻擊被阻攔,但沒有提示重要報警。然而,它的事件包含在的其他攻擊方式檢測中。
4.1.4 EXE
產品非常依賴用戶模式hook,這次測試中,當使用系統調用時,攻擊內容沒有被阻攔,也沒有任何報警/事件。
4.2 Carbon Black Response
Carbon Black 是領先的EDR解決方案之一。真正優勢來自它的遙測和監控系統上每個操作的能力,例如注冊表修改,網絡連接等。最重要的是,提供一個SOC友好的接口對主機分類。根據從探頭收集到的遙測數據,對比好幾個攻陷標志。后者可以聚合成一個分數,根據大小來觸發報警。此外,對于EDR,配置起到關鍵作用。因此在本例中,基于Carbon Black 處理的攻陷標志,我們有一個定制SOC feed。feed可以基于查詢,意味著根據Carbon Black處理的事件,基于搜索生成結果,包括并不限于注冊表修改,網絡連續,模塊加載等。
EDR嚴重依賴內核回調,許多功能包含在它的網絡過濾驅動和文件系統過濾驅動中。針對好幾種檢測,也使用用戶模式hook。例如,檢測內存dump。Carbon Black的文檔中提過,設置用戶空間 API hook檢測進程內存dump。其他的例子是檢查加載到內存中的腳本解釋器。文檔中提過,驅動程序例程被設置為識別加載內存腳本解釋器的進程。
4.2.1 功能開啟
Carbon Black Response 在邏輯和用戶案例上有所不同。它主要的目的是提供遙測而非主動行動。而且它的能力是在調查時提供協助,因為它不包括阻止功能,而是一個SOC友好的軟件,提供深度可見性。所提供的能力和控制臺后面的操作者關系很大,除了分類主機,它的檢測依賴于可以定制化和生成報警的feed。在我們的例子中,我們使用一些缺省feed,如ATT&CK和Carbon Black的社區feed,和一個定制公司feed。
4.2.2 CPL
由于對shell32.dll異常命名、保存位置和使用,觸發了報警。Carbon Black 清楚地發現本例中惡意.cpl文件,但無法明確驗證這個行為是否真的有害。因此,報告了該事件,但打分不高。
4.2.3 HTA
檢測到.hta文件,由于其父進程是一個可能的CVE,加載了可疑模塊。Carbon Black 了解LOLBAS 和LOLBINS,并及時檢測到它。
4.2.4 EXE-DLL
至于這兩次攻擊,沒有報警。盡管他們的活動被監測到,生成了主機通訊的遙測,而且能夠成功和域通信,最后應該注意到,父進程欺騙(PPID)沒有成功。
4.3 Carbon Black Cloud
除了Carbon Black Response,我們也測試了公司在端點保護方面的旗艦產品Carbon Black Cloud。仍然具有非常有效遙測處理功能,并增加了阻止和下一代防病毒軟件功能。
4.3.1 功能開啟
我們使用VMWare(Carbon Black 已經被vmware收購)生成的高級策略,所有選項設置成阻止功能。
4.3.2 EXE-DLL
兩個攻擊都成功,沒有觸發任何報警。
4.3.3 CPL-HTA
檢測到這兩個攻擊,生成重大報警,然而都沒有阻止。非常有趣的是,在前面提到的LolBin情況下,HTA有關的攻陷標志加載了CLR.DLL,清楚表明在這過程中,運行了著名C2JS工具和.NET代碼。至于CPL文件,使用經典的異常CPL 文件檢測方法,檢測報告為不阻止。
4.4 Check Point Harmony
4.4.1 功能開啟
對于Check Point Harmony,我們在可能的情況下,使用阻止模式,開啟仿真/行為(防機器人,防漏洞利用),沒有打開safesearch設置,防止哈希檢查。
4.4.2 HTA-CPL
HTA攻擊,觸發中等報警,但沒有阻止攻擊。在CPL情況下,阻止了攻擊,控制臺發出報警。
4.4.3 EXE
檢測并阻止了EXE攻擊。
4.4.4 DLL
沒有檢測到DLL攻擊,當然也就無法阻止。
4.5 Cisco Secure Endpoint(前 AMP,后被思科收購)
AMP是思科的EDR產品,為終端提供阻止、檢測和響應功能,還有威脅狩獵。此外使用云分析和機器學習,及時檢測威脅。
4.5.1 功能開啟
在EDR產品中,我們使用“標準保護策略”,激活“惡意腳本阻止”功能。
4.5.2 CPL-HTA
兩個攻擊都被阻止了,在CPL 文件例子中,文件被隔離,在HTA例子中,進程被kill。
4.5.3 DLL
在DLL攻擊中,我們注意到,雖然攻擊被阻止,報警是阻止漏洞利用。因此,我們使用不同的應用程序,執行同樣的攻擊。事實上,問題看起來和特定應用有關,一旦我們使用了其他應用,使用同樣的技術,攻擊成功。
4.5.4 EXE
攻擊成功,無報警。
4.6 Comodo OpenEDR
OpenEDR是Comodo的開源EDR方案。開源的特點允許很多定制化和擴展。能使用云來管理控制臺和使用Comodo的遏制技術來阻止威脅。
4.6.1 功能開啟
對OpenEDR,我們使用預配置集,聲稱能夠提供最大化安全,也就是“第三級安全(最高)“。
4.6.2 HTA-DLL
兩個攻擊向量都成功,無報警。
4.6.3 CPL-EXE
兩個攻擊都被Comodo遏制技術阻止。雖然文件被發送到控制臺,但沒有報警。
4.7 CrowdStrike Falcon
CrowdStrike Falcon將最先進的行為檢測功能和直觀的用戶界面結合起來。后者通過進程樹和攻擊指示器,提供了攻擊時事件本身和機器狀態清晰視圖。Falcon Insight 的內核模式驅動程序抓取超過200種事件和必要的有關信息,以便回溯攻擊事故。除了使用經典的內核回調和用戶模式hook,Falcon也訂閱了ETW Ti feed。
當處理進程注入時,大多數EDR,包括Falcon,在掃描內存之前持續檢查Windows API,例如virtualAllocEx和NtMapViewOfSection。一旦Falcon 發現任何進程調用這些函數,它很快檢查被分配的內存,確定是否這是一個遠程進程生成的新線程。在本例中,持續跟蹤線程ID,提取整個注入內存,解析.text部分、Export 部分、PE頭、DOS頭,顯示了PE的名字,開始/停止日期/時間,不限于導出加載函數的地址。
至于響應部分,提供廣泛的實時響應功能,根據進程創建、網絡連接、文件生成及其他條件,生成定制IOA。
4.7.1 功能開啟
對于本產品,我們使用激進策略,盡可能開啟所有功能。這是一個已經用在公司環境里的策略,目標是最大化保護和最小限度破壞。
4.7.2 DLL-CPL-HTA
這三種攻擊沒有生成任何報警,允許Cobalt Strike beacon 偷偷地執行。
4.7.3 EXE
非常有趣,檢測到了EXE,雖然直接系統調用可用來繞過用戶模式hook。注意報警是中等嚴重性。
4.8 Cylance PROTECT
根據他們的聲明,Cylance是最早集成AI和機器學習,把產品升級到下一代防病毒(NGAV)的廠商之一。在以前,由于非常依賴用戶模式hook,Cylance PROTECT被許多研究者作為參考點。也是一個很好的例子,說明使用智能引擎和智能遙測,新一代保護如何被繞過。從那時起,解決方案進步了很多,檢測的戰略方法看起來構建在同樣的傳統基礎上,只不過使用了AI。
4.8.1 功能開啟
Cylance PROTECT的設置非常簡單。對于我們的實驗,我們設置所有可能的保護為“on”和“阻止&隔離”,開啟日志。
4.8.2 EXE
Cylance PROTECT沒有檢測到EXE攻擊。
4.8.3 DLL-CPL-HTA
DLL攻擊被阻止,其他兩種攻擊(CPL和HTA),盡管我們做了好幾個測試,都無法執行。而且雖然我們開啟了日志,沒有看到任何報警或任何阻止。
4.9 Cynet
Cynet的核心功能包含于Cynet Endpoint Scanner,提供的一些主要功能是基于內存的制件掃描和檢測,還有“內存特征報警”,實時運行,提供持續的系統進程監控。大多數檢測和阻止功能基于驅動的微型過濾器和靜態檢測的機器學習算法,也就是Cynet的下一代防病毒產品。利用上述內存掃描檢測常見威脅和常見的ETW提供商。目前還不是EtwTi。最后,Cynet使用網絡過濾方法,獲取更多的了解。
就像他們聲稱過的,公司的方法基于多層思維模式,依賴遙測源提供盡可能多的信息。這種思維方式的例子是LSASS dumping 保護,在內核層跟蹤用戶模式dumping 技術,依賴打開lsass的句柄。然而,命令行監控之上,進一步使用字符串監控,如“procdump”或“lsass”,確保更深入的洞察。
作為內核級進程句柄監控和保護常用例子,我們可以看看ObRegisterCallbacks 例程,這是防病毒方案主要使用的微軟基于內核的進程和線程句柄hook。網上有多個在線用例,關于如何使用這個方法和訪問掩碼結合的方式來保護進程。Cynet也使用簡單但有效誘餌文件,阻止(勒索軟件是目標不可知的)勒索軟件,在其他多個案例中證明了關鍵作用。此外,根據他們的多篇文章,內存特征報警是基于字符串檢測。
雖然大多數攻擊是成功的,Cynet 宣稱一些差異已經導致內存掃描的失效,無法馬上阻止常見的惡意軟件,例如我們使用的Cobalt Strike。評估之后,廠商立刻處理提交并及時響應,推送多個更新,努力修復發現的問題,包括和內存掃描相關的內容。
4.9.1 功能開啟
Cynet,我們使用激進配置,在可能情況開啟阻止模式,啟用所有功能,包括ADT、事件監控等。
4.9.2 CPL
通過靜態檢測,CPL攻擊被阻止。
4.9.4 HTA-EXE-DLL
所有三種攻擊獲得成功,沒有任何報警。
4.10 Elastic EDR
Elastic 是市場上為數不多的開源解決方案之一。基于著名的ELK棧,允許高級搜索和可視化,開源的特點支持未來更多的定制化。
4.10.1 功能開啟
我們開啟所有阻止設置和可用源,例如,文件修改。
4.10.2 DLL
檢測到DLL攻擊,一旦訪問磁盤就阻止。
4.10.3 CPL
在內存中檢測到CPL攻擊,進行阻止。
4.10.4 EXE-HTA
兩種攻擊成功實現,沒有任何報警。
4.11 ESET PROTECT 企業版
ESET PROTECT 企業版是廣泛使用的端點解決方案,使用行為和聲譽系統緩解攻擊。此外使用云沙盒阻止零日威脅,全盤加密提高數據保護。EPP從百萬個終端實時收集反饋,還有內核回調、ETW(Event Tracing for Windows,windows 事件追蹤)、hook技術。
ESET PROTECT企業版,根據用戶或組的要求,允許編輯XML文件微調,來定制策略。對于這一點,藍隊可以使用文件名、路徑、哈希值、命令行和特征來決定觸發報警的條件。
我們使用ESET PROTECT企業版,使用最大預定義配置,無需進一步微調。
4.11.1 功能開啟
我們使用預定義策略,實現最大的安全性,也是ESET PROTECT 在控制臺里聲明的。使用了機器學習、深度行為檢查、SSL過濾、PUA檢測,我們決定對終端用戶隱藏圖形界面。
4.11.2 EXE-DLL
這兩種攻擊成功運行,沒有阻止和任何報警。
4.11.3 CPL-HTA
準確識別CPL和HTA攻擊并進行阻止,特別是,ESET內存掃描器正確地發現了惡意代碼,但把名字錯誤的標成Meterpreter。
4.12 F-Secure Elements
F-Secure Elements 包含好幾個產品,本次實驗測試了兩個產品。分別是EPP和EDR。兩種方案都從端點收集行為事件,包括文件訪問、進程、網絡連接、注冊表更改和系統日志。為實現這個目標,Elements 在其他功能中,使用Windows 事件追蹤。雖然F-Secure Elements EDR 使用機器學習完善功能,常常需要網絡安全專家介入。EDR也包括內置事件管理,特別是當檢測得到證實后,F-Secure Elements EDR內置指南,推動用戶使用必要的步驟,遏制和修復檢測到的威脅。
4.12.1 功能開啟
根據我們的實驗,我們開啟了EDR和EPP的全部功能,包括深度保護。我們也包括基于聲譽的瀏覽控制,開啟防火墻開啟。在第一版手稿中,只包括EPP結果,值得注意的是,所有發動的攻擊都成功,沒有任何報警。
然而在 F-Secure的協助之下,發現最初的測試僅僅適合EPP方案。因此F-Secure 幫助設置了EDR產品許可,這樣我們可以在我們環境中測試。為了確保不考慮新的檢測,在這個配置中,數據庫許可降級為更早日期,2021年6月18日。我們測試了F-Secure EDR 產品兩次。測試中檢測到了三種攻擊,兩種是馬上檢測到,第三種有5小時的延遲。由于F-Secure 降級了數據庫,混亂導致后端系統的錯誤配置。一旦更改了錯誤配置,特定攻擊檢測時間就減少到25分鐘。由于EDR產品的特性,沒有攻擊被阻止。
4.12.2 F-Secure EPP
在F-Secure EPP案例中,沒檢測到攻擊,也沒有阻止。得到廠商證實。
4.12.3 F-Secure EDR
在F-Secure EDR例子中,需要注意的是,兩種攻擊方式被合并到一個攻擊中,一個被標記為中級報警。最后,EXE攻擊都成功了。
4.13 FortiEDR
FortiEDR非常依賴仿真模式,但由于時間和實驗本身的原因,沒有使用。這是一個訓練過程,學習和了解組織的職能。它充分利用回調,嘗試識別和阻止沒有映射的代碼和感染過程中的動態行為。根據我們的實驗,當反射注入時,會出現這些報警,因為我們已經在好幾個使用上述技術的工具中觀察到這個報警,報警和文件從內存加載有關。而且,HTA的COM活動被阻止。
4.13.1 功能開啟
在FortiEDR中,我們使用激進設置,開啟所有功能和阻止模式。
4.13.2 CPL-HTA-EXE-DLL
FortiEDR 設法檢測和阻止了所有的攻擊方式。
4.14 Harfang Lab Hurukai
Harfang Lab 是這個市場的新玩家。他們的EDR嘗試提供廣泛的可見性和某些急需的分析功能,包括實時反匯編和基于Yara檢測惡意特征和擴展初始檢測的功能。雖然阻止不是他們的主要目標,產品能適當調整,研發團隊可以提供功能。
4.14.1 功能開啟
實驗在Harfang Lab團隊的協助下進行。設置成提供最高水平的檢測,然而,沒有設置阻止模式。
4.14.2 CPL-EXE
CPL攻擊被檢測為可疑執行。EXE攻擊也檢測到,由于犧牲進程werfault.exe沒有任何標志(甚至假標志)。實際上如果存在假標志,則不會檢測到攻擊。
4.14.3 DLL-HTA
沒有檢測到這兩種攻擊。
4.15 ITrust ACSIA
ITrust 聲稱它的安全方案ACSIA,在EDR領域,是顛覆性的,使用完全不同的方法,在payload到達目標之前,阻止執行。他們的方案不是基于傳統的遙測源,沒有定制的微型過濾。但看起來像是基于如日志收集器之類的工具。
4.15.1 功能開啟
在提供的環境中,廠商開啟了所有的設置。
4.15.2 CPL-HTA-EXE-DLL
所有攻擊都順利通過,EDR沒有任何報警。有趣的是,考慮到實驗中所需的C語言運行環境安裝, 觸發報警這一事實,我們嘗試使用惡意.msi文件進一步觸發方案,驗證所有的組件都工作正常。攻擊沒有被阻止,安裝也發現很干凈。廠商證實了功能正常。
4.16 Kaspersky Endpoint Security
Kaspersky Endpoint Security 端點安全平臺,具有多層安全措施,使用機器學習功能檢測威脅。而且這個EPP客戶端軟件可以作為EDR客戶端,促進漏洞和補丁管理及數據加密。
4.16.1 功能開啟
在我們的實驗中,我們開啟每個分類中所有安全相關的功能。然而,對于Web和應用控制,我們沒有應用任何特定的配置。更準確地說,我們生成了一個策略,開啟所有行為檢測、漏洞攻擊、進程內存保護、HTTPS、防火墻,AMSI和文件系統定向模塊。阻止和刪除所有惡意軟件和行為。
4.16.2 CPL-HTA-EXE
在這三種攻擊中,Kaspersky Endpoint Security 及時發現和阻止我們的攻擊,更準確地說,EXE和CPL進程在執行之后被殺掉,HTA是只要訪問磁盤就被阻止
4.16.3 DLL
DLL攻擊成功,沒有遙測被記錄。
(上)
