如何利用EDR绕过EDR防护
新型攻击向量曝光
网络安全研究人员发现了一种危险的新型攻击向量:攻击者可滥用端点检测与响应(EDR)软件的免费试用版来禁用现有的安全工具。研究人员Ezra Woods和Mike Manrod发现并记录了这一现象,将其称为"EDR-on-EDR暴力"。
技术原理详解
根据研究人员的分析,攻击者可以在受感染系统上以本地管理员权限安装免费EDR试用版,然后配置这些工具来阻止现有安全解决方案。在测试过程中,Woods和Manrod成功禁用了Cisco Secure Endpoint、CrowdStrike Falcon和Elastic Defend等产品。
关键技术特点
- 无痕操作:攻击过程不会生成警告消息或遥测数据
- 合法凭证:使用的软件具有有效数字证书,难以与授权安装区分
- 离线伪装:受感染的端点仅显示为离线状态
具体实施方法
研究人员在分析中解释:“可以通过移除排除项,然后将现有AV/EDR产品的哈希值添加到阻止应用程序列表来实现此攻击。”
具有远程监控和管理功能的EDR产品提供了更广泛的滥用可能性。例如,研究人员结合使用ESET的EDR产品,能够安装受感染的实例并完全加密目标系统的硬盘。
技术优势比较
与传统的EDR绕过技术(如BYOVD或DLL取消挂钩)相比,这种攻击方法虽然需要本地管理员权限,但复杂度较低。研究人员指出:“使这种攻击向量如此有趣的是,它至少可以禁用某些产品,即使篡改保护功能已激活。”
防护建议
安全研究人员建议企业采取以下防护措施:
- 实施应用程序控制解决方案,阻止未经授权的安全软件安装
- 部署自定义攻击指标,检测可疑的EDR安装
- 使用应用感知防火墙和安全Web网关,防止访问未经授权的安全供应商门户
测试与验证
Woods和Manrod在其文章中分享了详细指南,使安全团队和专家能够复制、测试和深入理解这种攻击向量。他们建议使用隔离系统进行受控测试。
本文基于安全研究人员在Medium上发布的原始技术分析,详细介绍了EDR产品相互攻击的技术细节和防护方案。