0
0
Uma nova técnica pioneira pode tornar as plataformas de detecção e resposta de endpoint (EDR) “cegas”, desvinculando o modo voltado para o usuário do kernel do Windows (NTDLL) dos pontos de interrupção de hardware. Isso potencialmente dá aos agentes mal-intencionados a capacidade de executar qualquer função de dentro do NTDLL e entregá-lo, sem que o EDR saiba disso, alertaram os pesquisadores.
O Cymulate Offensive Research Group, que descobriu o que chama de técnica “Blindside”, observou em um relatório divulgado em 19 de dezembro que os comandos injetados podem ser usados para executar qualquer número de operações inesperadas, indesejadas ou maliciosas em um sistema de destino.
Blindside cria um processo desenganchado. Isso significa que os ganchos (que permitem que um aplicativo monitore outro) usados pelas plataformas EDR para identificar se os comportamentos são maliciosos não estarão presentes no processo desbloqueado.
Como muitas soluções de EDR dependem total ou fortemente de ganchos para rastrear comportamentos e atividades maliciosas, elas seriam incapazes de rastrear os comportamentos do processo iniciado com o Blindside, explicaram os pesquisadores.
Mike DeNapoli, diretor de mensagens técnicas da Cymulate, observa que existem outros métodos para bloquear ganchos, mas eles dependem muito da cooperação do sistema operacional. Não é assim com Blindside.
“O Blindside aproveita as operações de hardware e pode funcionar em circunstâncias em que outros métodos falham”, explica ele.
DeNapoli também aponta que o uso de pontos de interrupção de hardware para resultados maliciosos não é totalmente novo, explicando que os pesquisadores sabiam que várias formas de pontos de interrupção podem ser usadas para ofuscar a detecção nas arquiteturas x86. No entanto, Blindside tem uma abordagem ligeiramente diferente.
“Metodologias e técnicas de ameaças anteriores se concentravam na virtualização de um processo ou no uso de syscalls para atingir seu objetivo”, diz ele. “Blindside adiciona o uso de pontos de interrupção de depuração específicos para forçar um processo a ser iniciado sem ganchos, o que a torna uma nova técnica.”
Descobrir novas técnicas melhora a proteção
DeNapoli diz que descobrir novos vetores de ataque permite que os fornecedores de EDR e seus clientes fiquem à frente do jogo na defesa.
“Ao investigar técnicas, a Equipe de Pesquisa Ofensiva Cymulate às vezes descobre ideias que podem ser usadas para criar novas técnicas”, explica ele, acrescentando que a justificativa para divulgar os resultados é trazer maior consciência dessas técnicas e métodos de ataque em potencial para EDR. fornecedores e o público — antes de serem descobertos por agentes de ameaças e usados para fins maliciosos.
“As soluções de EDR usam várias metodologias para monitorar aplicativos e processos em circunstâncias nas quais executam ações maliciosas”, diz DeNapoli. “Essa ideia de detecção baseada em comportamento tornou-se o método principal e mais popular de operações antimalware. Isso torna o desvio e o comprometimento dessa forma de operação antimalware uma grande preocupação de organizações e provedores de serviços.”
John Bambenek, principal caçador de ameaças da Netenrich, concorda que a boa notícia é que essa tática foi descoberta antes de um ataque e compartilhada com a comunidade em geral.
“Dessa forma, eles podem desenvolver mitigações, algumas das quais na própria pesquisa”, diz ele. “Esta pesquisa identifica o problema e um caminho a seguir.”
Ele acrescenta que os invasores estão constantemente desenvolvendo técnicas e procurando brechas para burlar nossas ferramentas de segurança. No início deste mês, foram encontradas vulnerabilidades em ferramentas EDR de diferentes fornecedores – entre eles Microsoft, Trend Micro e Avast – que oferecem aos invasores uma maneira de manipular os produtos para apagar praticamente todos os dados nos sistemas instalados .
E outro grupo de ameaças foi observado recentemente usando os drivers assinados pela Microsoft como parte de um kit de ferramentas projetado para encerrar processos de antivírus e EDR.
“Ou nós os encontramos primeiro e desenvolvemos mitigações ou queremos que os invasores os encontrem e lide com as violações”, diz Bambenek.
Atualizando Posturas de Defesa
DeNapoli explica que as plataformas de EDR de última geração provavelmente evoluirão, deixando de depender tanto do processo de conexão.
“Vários fornecedores de EDR contra os quais a Cymulate testou a técnica já começaram a usar mais do que apenas métodos de captura para rastrear comportamentos, e mais certamente o farão à medida que técnicas adicionais para evitar a captura forem trazidas à tona”, diz ele.
Trabalhar com o fornecedor de EDR e/ou provedor de serviços de uma organização e manter o sistema e a configuração das ferramentas em sua infraestrutura atualizados e validados de acordo com as recomendações do fornecedor/provedor é uma etapa crítica para ficar à frente dos agentes de ameaças, acrescenta DeNapoli .
“Como as soluções de EDR são apenas uma camada de defesa e como as soluções modernas de segurança cibernética podem ser complexas, é vital que as organizações também validem regularmente seus controles de segurança”, diz ele.
Bambenek adverte que muitas organizações acreditam que seu trabalho está concluído quando implantam o EDR em todos os lugares e, embora importante, é apenas uma peça do quebra-cabeça.
“Segurança, infelizmente, vai exigir investimento constante, porque os atacantes certamente estão investindo em P&D próprio”, explica. “Principalmente, o trabalho aqui é nos fornecedores de EDR para procurar outros meios para detectar o uso dessas técnicas.”
FONTE: DARK READING