Otkrivena je sofisticirana tehnika napada u kojoj sajber kriminalci iskorištavaju besplatne probne verzije softvera za detekciju i odgovor na krajnje tačke (EDR) kako bi onemogućili postojeće sigurnosne zaštite na kompromitovanim sistemima.
Ova metoda, nazvana BYOEDR (Bring Your Own EDR – Donesi svoj vlastiti EDR) , predstavlja zabrinjavajuću evoluciju u taktikama izbjegavanja odbrane koje koriste legitimne sigurnosne alate kao oružje protiv sebe samih.
Iskoristite probne EDR programe
Tehniku napada prvi su identificirali istraživači Mike Manrod i Ezra Woods, koji su otkrili da akteri prijetnji mogu dobiti besplatne probne verzije EDR proizvoda i koristiti ih za neutralizaciju konkurentskih sigurnosnih rješenja koja su već implementirana na ciljnim sistemima.
U svom testiranju, demonstrirali su kako se Cisco Secure Endpoint (AMP) može uspješno instalirati i konfigurisati da deaktivira i CrowdStrike Falcon i Elastic Defend bez aktiviranja upozorenja ili generiranja telemetrije nakon što host pređe u offline mrežu.
Prema Mikeu Manrodu i Ezri Woodsu, tehnički proces uključuje nekoliko kritičnih koraka koji iskorištavaju administrativne mogućnosti EDR-a. Nakon što dobiju lokalne administratorske privilegije, napadači se registruju za besplatne probne verzije EDR-a, preuzimaju instalacijski program agenta i instaliraju ga na ciljni sistem.
Zatim idu do odjeljka Upravljanje > Politike u EDR konzoli, pristupaju politici „Zaštita“ za Windows i sistematski uklanjaju sva izuzeća s kartice Izuzeća.
Posljednji korak uključuje identifikaciju SHA256 hasha ciljnog EDR procesa i njegovo dodavanje na „List blokiranih aplikacija“ putem interfejsa Outbreak Control > Blokirane aplikacije.
Ono što ovu tehniku čini posebno opasnom je njena sposobnost zaobilaženja mehanizama zaštite od neovlaštenih promjena koji obično sprječavaju neovlaštenu modifikaciju sigurnosnog softvera.
Za razliku od složenijih metoda izbjegavanja kao što su BYOVD (Donesi svoj vlastiti ranjivi drajver) ili tehnike otključavanja DLL-a, BYOEDR predstavlja pristup niže složenosti uz održavanje visoke efikasnosti.
Ublažavanja
Ova metoda napada pojavljuje se u kontekstu sve veće zloupotrebe RMM-a (daljinskog upravljanja i nadzora) , a izvještaj CrowdStrikea o lovu na prijetnje iz 2024. godine ukazuje na 70% godišnji porast takvih aktivnosti.
Legitimnost EDR alata čini ih posebno efikasnim za maliciozne svrhe, jer posjeduju važeće certifikate i pouzdan status što smanjuje vjerovatnoću otkrivanja.
Stručnjaci za sigurnost preporučuju implementaciju mjera kontrole aplikacija, prilagođenih IOA-a (indikatora napada) i zaštitnih zidova koji su svjesni aplikacija kako bi se blokirale neovlaštene RMM i EDR instalacije .
Osim toga, osnovne sigurnosne prakse, uključujući pravilnu segmentaciju mreže, jačanje hosta, redovno instaliranje zakrpa i ograničavanje privilegija lokalnog administratora, ostaju ključne odbrane.
Istraživački tim je pozvao EDR dobavljače da ojačaju procese validacije za besplatne probne verzije i implementiraju zaštitne mjere koje sprječavaju otmicu agenata između različitih korisnika istog proizvoda.
Izvor: CyberSecurityNews
