Темная сторона EDR: как система защиты становится оружием хакера

Специалист компании SafeBreach Шмуэль Коэн продемонстрировал, что EDR-решения могут быть использованы в качестве инструментов для проведения атак. В ходе исследования Коэн проанализировал одну из EDR-систем, выявив уязвимости, которые могли бы позволить хакерам использовать такой инструмент во вред.

EDR-системы, работающие с высокими привилегиями, предназначены для защиты устройств от различных угроз, включая вредоносные программы. Однако компрометация таких систем может предоставить атакующим стойкий и незаметный доступ к устройствам жертв.

Коэн обнаружил, что поведение исследуемого EDR позволяет обходить защиту от изменения файлов, что дает возможность запускать шифрующее ПО для вымогательства и даже загружать уязвимый драйвер для предотвращения удаления EDR с помощью пароля администратора.

Кроме того, исследователь нашёл способ внедрения вредоносного кода в один из процессов EDR, позволяющий выполнять код с высокими привилегиями и оставаться незамеченным. Коэн также использовал возможность модификации Lua и Python файлов, что делает возможным выполнение вредоносного кода и получение доступа к машине с наивысшими системными привилегиями.

Используя уязвимый драйвер, Коэн мог читать и записывать в ядро системы, что позволяло ему изменять проверку пароля управления в EDR, делая возможным использование любого пароля, или даже блокировать удаление программы, если она отключена от управляющего сервера.

Исследование подчеркивает, что атаки на EDR-решения могут предоставить злоумышленникам мощные возможности, которые, скорее всего, останутся незамеченными. Коэн отмечает, что продукты безопасности должны тщательно защищать логику процессов обнаружения, шифровать и подписывать файлы контента цифровой подписью, чтобы предотвратить их изменение. Также следует добавлять процессы в списки разрешенных или запрещенных на основе нескольких параметров, которые не должен иметь возможность изменить атакующий.

Palo Alto Networks отреагировала на открытие Коэна, обновив защитные механизмы и порекомендовав пользователям удостовериться в актуальности своих систем. Коэн поделился своими исследованиями с общественностью, чтобы повысить осведомленность о подобных угрозах и усилить меры безопасности в организациях.