EDR如何绕过EDR防护?安全研究人员发现新型攻击向量

安全研究人员发现攻击者可滥用EDR软件的免费试用版本来禁用现有安全工具,这种被称为"EDR-on-EDR暴力"的技术利用合法安全软件间的信任关系实现攻击,本文详细分析了该攻击原理及防御建议。

EDR如何绕过EDR防护?

新型攻击向量被发现

网络安全研究人员Ezra Woods和Mike Manrod发现了一种危险的攻击方式:攻击者可以滥用终端检测与响应(EDR)软件的免费试用版本来禁用现有的安全防护工具。他们将这种现象称为"EDR-on-EDR暴力",并在Medium上发表了详细研究成果。

“总结来说,EDR/AV产品可被用来禁用或阻止现有安全工具、远程控制设备,甚至像我们在某个案例中发现的那样——加密整个硬盘,“研究人员指出。这种具有讽刺意味的新攻击向量利用了安全领域一个很少被质疑的基本假设:合法的安全工具总是可信的。

攻击原理分析

根据研究人员的发现,攻击者可以在已入侵的系统上以本地管理员权限安装EDR产品的免费试用版本,然后配置这些版本来阻止现有的安全工具。在他们的测试中,Woods和Manrod成功禁用了Cisco Secure Endpoint、CrowdStrike Falcon和Elastic Defend,而且不会触发任何警报或生成遥测数据——受攻击的终端只是显示为离线状态。

被滥用的软件具有有效的数字证书并被识别为合法程序,因此很难与真正授权的安装区分开来。在企业环境中,安全团队很可能无法识别防护措施已被故意破坏。

“实现方式是通过删除排除项,然后将现有AV/EDR产品的哈希值添加到阻止应用程序列表中,“研究人员在分析中解释道。具有远程监控和管理功能的EDR产品尤其容易被滥用,例如研究人员使用ESET的EDR产品实例成功加密了目标系统的整个硬盘。

防御建议

研究人员为企业提供了以下防护建议:

  1. 部署应用程序控制解决方案,阻止未经授权的安全软件安装
  2. 实施自定义攻击指标,检测可疑的EDR安装
  3. 使用"应用感知"防火墙和安全Web网关,防止访问安全供应商的未授权门户

Woods和Manrod在其文章中分享了详细的操作指南,帮助安全团队复现、测试和深入理解这种攻击方式,并建议在隔离系统中进行受控测试。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次