‘EDR-on-EDR Violence’：黑客将安全工具相互对抗

新闻
2025年7月31日 · 5分钟阅读 · 端点防护 · 安全

研究人员揭示攻击者如何利用端点检测工具的免费试用来禁用现有安全软件，即使启用了防篡改保护也能成功。

图片来源： DC Studio - shutterstock.com

网络安全研究人员发现了一种令人不安的新攻击向量，威胁行为体正在武器化端点检测与响应（EDR）软件的免费试用来禁用现有安全工具——这一现象被他们称为“EDR-on-EDR暴力”。

安全研究人员Ezra Woods和Mike Manrod记录了一种现象，攻击者使用一种安全产品系统地禁用另一种安全产品。他们的发现发表在Medium帖子中，展示了网络犯罪分子如何轻松地将对合法安全软件的信任转化为对企业防御者的攻击。

“事实证明，禁用EDR的方法之一是使用EDR的免费试用版，”研究人员写道，强调了这种新兴攻击向量的讽刺性。

该技术利用了网络安全中的一个基本假设：合法安全工具可以被信任。根据研究人员的说法，攻击者注册EDR产品的免费试用版，将其安装在具有本地管理员权限的受感染系统上，然后配置攻击者控制的安全软件以阻止现有的防护工具。

在他们的测试中，Woods和Manrod发现，Cisco Secure Endpoint可以成功禁用CrowdStrike Falcon和Elastic Defend，而不会从目标系统生成警报或遥测数据。受感染的端点似乎只是离线，没有向安全团队提供任何防护被故意破坏的迹象。

“这是通过移除排除项，然后将现有AV/EDR的哈希添加为被阻止的应用程序来实现的，”研究人员在分析攻击方法时解释道。

不仅仅是简单的破坏

研究揭示的能力远远超出了基本的EDR干扰。在至少一个涉及ESET的案例中，研究人员发现他们可以安装一个攻击者控制的实例，该实例从合法安装中劫持控制权。一些EDR产品还包括类似于远程监控和管理工具中的远程管理功能，打开了额外的攻击向量，包括命令shell访问。

“一些EDR产品具有类似RMM的功能，具有广泛的滥用潜力，”Woods和Manrod指出，并警告说，在涉及ESET的极端情况下，他们发现能够通过受感染的界面控制全盘加密。

该攻击绕过了专门设计用于防止对安全工具进行未经授权修改的防篡改保护功能。

“使这个向量有趣的是，即使启用了防篡改保护，它也可以禁用至少一些产品，”研究人员解释说，并指出虽然攻击需要本地管理员权限，但与传统的EDR规避技术（如自带漏洞驱动程序（BYOVD）攻击或DLL解钩）相比，它代表了一种低复杂度的方法。

这种EDR滥用代表了安全团队在威胁环境中看到的合法工具利用的演变。2024年CrowdStrike威胁狩猎报告记录了远程监控和管理工具滥用同比增长70%，其中RMM工具利用占所有手动键盘入侵的27%。

这项研究是由一位名为BushidoToken的安全研究人员的观察引发的，他在X上发布了关于威胁行为体积极滥用某些EDR产品的帖子，并质疑这是否应该成为MITRE ATT&CK的一个子类别。现实世界的情报表明，该技术已经在实验室环境之外被利用。

“这些工具是合法的、受信任的、具有有效证书——因此，它们被检测到的可能性要小得多，”研究人员指出，解释了防御者面临的基本挑战。

该攻击对安全团队提出了独特的挑战，因为传统的检测方法可能会失败。攻击软件携带有效的数字证书，并被识别为合法的安全软件，使其难以与授权安装区分开来。

“在禁用过程中不会产生明显的恶意活动，系统似乎只是离线，而不是显示明显的妥协迹象，”研究人员补充道。

这为依赖端点遥测监控其环境的安全运营中心创造了一个危险的盲点。当EDR代理停止报告时，可能表示系统关闭、网络连接问题或这种新形式的攻击。

Woods和Manrod为希望防御这种攻击向量的组织提供了建议。他们建议部署应用程序控制解决方案以阻止未经授权的安全软件安装，并实施自定义的“攻击指标”以检测可疑的EDR安装。他们补充说，应用程序感知防火墙和安全Web网关可以帮助阻止对未经授权的安全供应商门户的访问。

研究人员为安全团队提供了详细的说明，以在自己的环境中测试这种攻击向量，强调了解这些攻击在组织安全遥测中的表现的重要性。他们建议使用隔离系统进行受控测试，监控现有安全工具中的检测差距，并分析攻击时间线和指标。

“最后，请在家里尝试。测试、狩猎并分析这些向量在您的环境中的表现，并将此测试作为您的指南，”研究人员敦促安全团队。