这项研究在去年发表的一篇题为 《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的论文中详细介绍了EDR软件,该软件是经典杀毒程序的演变,使用静态和动态分析方法来检测恶意软件,但也监测、收集和汇总来自终端的数据,试图检测依靠更隐蔽技术的恶意行为,如滥用合法应用程序来实施攻击。
今天,EDR结合了从静态文件签名规则到高级机器学习模块的所有内容,被认为是安全软件方面最顶端的解决方案。然而,它们并不完美。
Karantzas和Patsakis的研究旨在找出当今一些最大公司的EDR在面对模拟常见APT杀伤链的各种简单攻击时的表现。
他们的工作包括购买一个成熟的过期域名来托管恶意软件的有效载荷,用Let’s Encrypt SSL证书来保护该域名,并托管攻击中常用的四种类型的文件,如:
一旦执行,这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。
这个攻击链背后的想法是,这四个文件和Beacon后门是常规的有效载荷,通常是作为鱼叉式网络钓鱼电子邮件活动的一部分发送给受害者的,如果企业部署了EDR,那就都应该检测、阻止或至少提醒安全团队。