本文翻译自:https://www.optiv.com/insights/s ... ackers-have-evolved
攻击者的主要目标是在不被发现的情况下达到某一目的。这通常涉及在环境中建立立足点,然后横向移动。在现实中,攻击者操作时几乎没有或根本没有关于目标安全控制的信息。因此,他们必须调整他们的策略,随着时间的推移,控制措施,以最大限度提高成功的可能性。
从攻击者的角度来看,这些新技术中更具挑战性的一项是 endpoint detection and response (EDR,终端检测与响应),它常被人们说是 antivirus (AV,反病毒) 的未来。传统的 AV 主要是使用签名和启发式分析的组合来对恶意代码进行预防和检测,然而,EDR 有两个主要功能,一是检测恶意行为或签名;二就是对分析和 IR (incident response,事件响应) 提供帮助。因此,EDR 解决方案已成为全面防御攻击者的事实上的要求。
EDR 专门用于检测终端设备上发生的可疑行为,例如进程注入。一旦识别出这些行为,防御方和事件响应者随后便会采取措施,其中可能包括将受感染主机与网络隔离,以便于终端设备日志收集、查看事件的时间线、收集和记录威胁指标,甚至可以终止可疑进程。
攻击者通过开发新的、高度复杂的技术来逃避 EDRs 的磁盘和内存检测。EDRs 这些功能的关键,源于它能够 hook 主机上所有正在运行的进程。
如果没有我们之前的那些高质量的工作,这个项目是不可能实现的。很多人公开了审查 EDR 和内存钩子方面开创新研究,重点是绕过特定产品的方法。本文的目的是更深入地探讨该主题,而不只专注于适用于特定产品的技术,而是识别所有 EDR 产品的系统性问题以及攻击者如何利用它们来绕过 EDR 产品,而无需了解客户的安全,这涉及深入研究这些先前讨论过的概念以及发现新的概念。
如果您想了解更多,下面有一些额外的资源可供参阅:
一、什么是 hooking
Hooking 是一种能够改变应用程序行为的技术,EDR 使用此技术可对进程的执行流进行监测,收集基于行为的分析信息,检测可疑活动和恶意活动。提高在初始技术 (代码执行) 和后利用技术 (权限提升、横向移动或勒索软件活动) 阶段的检测率。
这些钩子将数据发送到 EDR agent 上,以便实时处理遥测数据 。agent 通常安装于内核中,这意味着拥有最高访问权限。为什么要安装在内核中,有两个主要原因,一是避免被攻击者关闭或删除,因为访问内核中 (Ring Zero) 运行的服务并不是那么容易。若要被利用,通常需要借助某种漏洞,或者攻击者必须已在终端设备上获得了较高权限。由于攻击者以 "黑匣子" 的心态布局,通常假设最初的立足点还没有获得特权,那么必须通过后续 exploit 中获得,操作时如果不谨慎点,可能会被 EDR 捕获。另外一个原因是能够来控制和监视整个系统。
登录/注册后可看大图
SourceZero_Red-Evolution-of-Detection-and-Response_Blog-Pt-1_Figure1_800x500-100_0.jpg (25.86 KB, 下载次数: 0)
下载附件
2021-8-20 11:10 上传
agent 通常通过加载 Dll 的方式来对进程进行下钩操作,Dll 重新映射已加载的函数,这样 agent 就能监控每个进程,收集遥测数据。agent 不断地接收信息,监控进程、磁盘甚至网络通信中的所有变化。agent 将数据传送到基于云平台的产品中,在这里,所有数据都被处理成可操作的数据,其中可能包含恶意的,也可能包含不是恶意的,虽然大部分预防控制是由 agent 执行的,但对攻击技术的修改通常可以绕过 agent 的初始检测。在基于野外收集的所有数据识别恶意行为方面上,EDR 平台能发挥真正作用。
登录/注册后可看大图
SourceZero_Red-Evolution-of-Detection-and-Response_Blog-Pt-1_Figure2_800x500-100_0.jpg (23.54 KB, 下载次数: 0)
下载附件