18家頂級EDR不完美，無法檢測常見攻擊

一組學者測試了當今18家頂級網絡安全公司的端點檢測和響應(EDR)軟件，發現許多公司未能檢測到高級持續威脅參與者(例如國家資助的間諜組織)使用的一些最常見的攻擊技術和勒索軟件團伙。

兩位學者George Karantzas和Constantinos Patsakis說：“我們的結果表明，由于最先進的EDR無法預防和記錄這項工作中報告的大部分攻擊，因此仍有很大的改進空間。”來自希臘雅典的比雷埃夫斯大學。

典型攻擊場景

這項研究在去年發表的一篇題為“針對高級持續威脅攻擊向量的端點檢測和響應系統的實證評估”的論文中進行了詳細介紹，研究著眼于EDR軟件，它是經典防病毒程序的演變使用靜態和動態分析方法來檢測惡意軟件，但也會監控、收集和聚合來自端點的數據，以嘗試檢測依賴更隱蔽技術的惡意行為，例如濫用合法應用程序進行攻擊。

今天，EDR結合了從靜態文件簽名規則到高級機器學習模塊的所有內容，被認為是安全軟件食物鏈的頂端。

然而，它們并不完美。

Karantzas和Patsakis的研究旨在了解當今一些最大公司的EDR在面對模擬常見APT殺傷鏈的各種簡單攻擊時如何公平。他們的工作包括購買一個成熟的過期域名來托管惡意軟件負載，使用Let's Encrypt SSL證書保護域名，以及托管四種常用于攻擊的文件，例如：

• Windows 控制面板快捷方式文件 (.cpl)；
• 合法的 Microsoft Teams 安裝程序（將加載惡意 DLL）；
• 一個未簽名的可移植可執行 (EXE) 文件；
• HTML 應用程序 (HTA) 文件。

一旦執行，這四個文件都會濫用合法功能來加載和運行Cobalt Strike Beacon后門。

這個攻擊鏈背后的想法是，這四個文件和Beacon后門是通常發送給受害者的常規有效載荷，是魚叉式網絡釣魚電子郵件活動的一部分，并且所有 EDR 都應該檢測、阻止或至少在以下情況下向安全團隊發出警報部署在企業網絡中。

經測試的EDR和結果

研究團隊針對來自比特梵德Bitdefender、Carbon Black、Check Point、Cisco、科摩多Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、卡巴斯基Kaspersky、邁克菲McAfee、微軟Microsoft、熊貓安全Panda Security、Sentinel One、Sophos、賽門鐵克Symantec和趨勢科技。

結果如下表所示：

結果表明，所有經過測試的EDR都沒有完全覆蓋所有攻擊媒介，從而使黑客有辦法繞過公司的防御。研究團隊認為，這使EDR面臨攻擊者可以關閉或至少禁用其遙測功能的情況，有效地使防御者對受感染系統上可能發生的事情視而不見，并允許威脅行為者準備對本地網絡進行進一步攻擊。

但并非所有EDR都在此實驗中進行了測試，并非所有EDR供應商都同意開放他們的產品進行測試：）

研究人員去年出現在Huntress Labs高級安全人員John Hammond在 YouTube頻道的視頻博客中表示，并非所有EDR供應商都同意開放他們的產品進行測試，甚至他們測試的18種產品中有一些是用SOC和CERT團隊等中介機構的幫助。

然而，Karantzas和 Patsakis表示，一旦他們的研究投入使用，一些供應商就會聯系并詢問他們可以改進產品的方法。

主流尚如此，那么國產EDR呢？