2022年1月份的一篇研究论文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》,一个希腊学者团队测试了当今18家顶级网络安全公司的端点检测和响应(EDR)软件,发现许多软件未能检测到高级持续威胁行为者(如国家支持的间谍组织和勒索软件团伙)使用的一些最常见的攻击技术。
希腊雅典比雷埃夫斯大学的两位学者George Karantzas和Constantinos Patsakis说:”我们的结果表明,EDR仍有很大的改进空间,因为最先进的EDR未能防止和记录这项工作中报告的大部分攻击。
典型的攻击场景
这项研究在去年发表的一篇题为 《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的论文中详细介绍了EDR软件,该软件是经典杀毒程序的演变,使用静态和动态分析方法来检测恶意软件,但也监测、收集和汇总来自终端的数据,试图检测依靠更隐蔽技术的恶意行为,如滥用合法应用程序来实施攻击。
今天,EDR结合了从静态文件签名规则到高级机器学习模块的所有内容,被认为是安全软件方面最顶端的解决方案。然而,它们并不完美。
Karantzas和Patsakis的研究旨在找出当今一些最大公司的EDR在面对模拟常见APT杀伤链的各种简单攻击时的表现。
他们的工作包括购买一个成熟的过期域名来托管恶意软件的有效载荷,用Let’s Encrypt SSL证书来保护该域名,并托管攻击中常用的四种类型的文件,如:
一个Windows控制面板的快捷方式文件(.cpl)。
一个合法的Microsoft Teams安装程序(将加载一个恶意的DLL)。
一个未签署的可移植可执行文件(EXE)。
一个HTML应用程序(HTA)文件。
一旦执行,这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。
这个攻击链背后的想法是,这四个文件和Beacon后门是常规的有效载荷,通常是作为鱼叉式网络钓鱼电子邮件活动的一部分发送给受害者的,如果企业部署了EDR,那就都应该检测、阻止或至少提醒安全团队。
已测试的EDR和结果
研究小组针对Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR软件测试这些攻击。结果见下表。
EDR | CPL | HTA | EXE | DLL |
BitDefender GravityZone Plus | × | × | √ | × |
Carbon Black Response | · | × | √ | √ |
Check Point Harmony | × | ◇ | × | √ |
思科 AMP | × | × | √ | ⊙ |
Comodo OpenEDR | × | √ | × | √ |
CrowdStrike Faleon | √ | √ | × | √ |
Elastic EDR | × | √ | √ | × |
F-Secure Elements 终端检测和响应 | ◇ | + | √ | × |
FortiEDR | × | × | × | × |
微软终端防御系统 | ★ | × | × | √ |
Panda Adaptive Defense 360 | × | √ | ★ | √ |
Sentinel One (不含测试功能) | √ | √ | √ | × |
Sentinel One (含测试功能) | × | × | × | × |
Sophos Intercept X with EDR | × | × | √ | - |
Trend micro Apex One | · | · | √ | √ |
终端保护 | ||||
ESET PROTECT Enterprise | × | × | √ | √ |
F-Secure Elements 终端: 保护平台 | √ | √ | √ | √ |
Kaspersky终端安全 | × | × | × | √ |
McAfec 终端保护 | × | × | √ | √ |
Symantec 终端保护 | √ | × | √ | √ |
表:每个测试解决方案的攻击汇总结果。
符号:√:成功的攻击,◇:成功的攻击,引发了中级警报,·:成功的攻击,引发轻微警报,★: 攻击成功,发出警报,◇:攻击不成功,未发出警报,×:攻击失败,发出警报,+:在供应商提供的两个实验中,第一个实验在5小时后被检测到,第二个实验在25分钟后被检测到,⊙:最初的测试由于文件签名而被阻止,第二项测试在另一个应用程序中成功。
结果显示,在测试的EDR中,只有两个产品对所有的攻击载体都有全面的覆盖,公司的防御系统起了作用。
研究小组认为,这种情况下,EDR将面临被攻击者关闭或至少禁用其遥测功能,而防御者就会看不到受感染的系统上可能会发生的情况,这就允许威胁者准备对本地网络的进一步攻击。
但并不是所有的EDR都在这项实验中进行了测试。
研究人员去年在Huntress实验室高级安全人员John Hammond的YouTube上发表的视频中说,并不是所有的EDR供应商都同意开放他们的产品进行测试,甚至他们测试的18种产品中,有一些是在SOC和CERT团队等中介机构的帮助下完成的。而他们的研究一经上线,一些供应商就主动联系并询问有关情况以及他们可以改进其产品的方法。
联系我们索要详细报告。《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》,详细了解实验方法,步骤及结论。
有效的加强防御的方案-移动目标防御技术
现有的安全防御理念,想的是怎么找到更多的漏洞,找到更多的特征,提高检测的效率。特征库可以从1G变到10G,但是对网络安全的理念是没有变化的。今天的安全模型优先考虑监控,检测,预防和修复,安全团队以静态的基础架构为基础,防御千变万化的攻击方法,严重不对称。攻击者有足够的时间研究静态基础设施和静态的防御技术。所以随着时间的增加,攻击者攻击一个目标,时间越长,攻击难度越小,获取更多架构信息,攻击经验不断累积。
移动目标防御技术是一种颠覆性的防御理念,不是优化目前的防御方式。通过不断变化攻击面,不是让终端产品没有后门,没有漏洞,而是把攻击变成概率问题。让攻击者随着攻击时间越长,难度越大,大大增加了攻击者攻击的成本,扭转了攻防不对称的局面。
虹科提供的是基于移动目标防御(Moving Target Defense)技术的终端解决方案,可以阻止绕过NGAV、EDR和EPP的勒索软件、零日,无文件攻击,内存攻击等高级攻击。我们的防御原理是:当一个应用程序加载到内存空间时,会对进程结构进行变形,使内存对攻击者来说始终是不可预测的。应用程序照常加载运行,原始框架结构会留作陷阱;攻击目标是原始框架结构,但是由于无法找到预期的和需要的资源而失败。攻击就被立即防御、捕获和记录,并带有完整的取证细节。
方案推荐
Morphisec(摩菲斯)作为移动目标防御的领导者,已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案,每天保护800多万个端点和服务器免受许多最先进的攻击。事实上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击,这些攻击是NGAV、EDR解决方案和端点保护平台(EPP)未能检测和/或阻止的。(例如,Morphisec客户的成功案例,Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下,在第零日就被阻止的此类攻击的例子包括但不限于:
勒索软件(例如,Conti、Darkside、Lockbit)
后门程序(例如,Cobalt Strike、其他内存信标)
供应链(例如,CCleaner、华硕、Kaseya payloads、iTunes)
恶意软件下载程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)
Morphisec(摩菲斯)为关键应用程序,windows和linux本地和云服务器提供解决方案,2MB大小快速部署。
免费的Guard Lite解决方案,将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取!
