本文来自微信公众号“安全牛”。
在网络安全领域中,有一个无法避免的“魔鬼交易”原则:为了让各种先进的安全工具能够顺利完成工作,它们会被授予最高等级的访问权限,并且可以充分获取网络系统中的各种资源。事实证明,一旦这些先进的安全防护能力被攻击者所利用,它们就可能会变成非常邪恶的恶意软件,对组织造成更巨大的危害。
在不久前举办的Black Hat亚洲简报会上,SafeBreach公司的安全研究员Shmuel Cohen展示了他如何对Palo Alto Networks的标志性XDR产品Cortex进行了逆向工程和技术破解,并最终成功将其武器化,以部署反向shell和勒索软件。
据Cohen介绍:XDR已经成为目前企业组织中最流行的网络安全工具之一,具有非常强大的信息读取权限和访问控制能力。正是由于XDR所具有的这些特性,我突然有了一个疯狂的想法,有没有可能把XDR方案本身变成一个恶意软件,将XDR所具备的防护能力变成对付企业的攻击武器呢?
为了验证这个想法,Cohen选择了目前XDR领域中的一款明星产品——Cortex作为实验对象,对其各个关键组件进行了逆向破解。在测试过程中,Cohen发现Palo Alto的Cortex XDR比其他大多数安全工具更依赖于一系列以明文方式存在的配置文件。利用这一弱点,Cohen紧接着开展了一系列攻击操作:
ㆍ更改了XDR上的保护规则,使得它不能被更改;
ㆍ封锁了该设备与其服务器的所有通讯链接;
ㆍ部署后门程序控制用户设备;
ㆍ绕过XDR检测机制运行恶意软件。
“这些操作似乎都起到了作用,最终我成功绕过了Cortex XDR的一系列防篡改保护机制,在用户看起来一切正常的情况下,将其变成了一款可被实际利用的恶意软件工具。”Cohen表示:“目前还不知道其他流行的XDR产品中是否存在类似漏洞,但是我想总能找到可利用的方法。”
尽管Cortex XDR所暴露出的弱点并不意味着XDR这种类型的安全工具不再有效。但本次测试再次证明了,网络安全领域并不存在绝对有效的防护方法和手段,攻与防之间的对抗博弈将会长期存在。
现代网络攻击非常复杂,而且是多管齐下的。组织只有构建多层次的纵深防御方法,才能确保所有安全层能够协同运作,以提供最大的覆盖范围,识别和响应网络系统中不同类型、不同级别的网络威胁。
此外,组织还需要全面打通关联所有的网络和安全监控信息,及时了解最新的威胁态势和逃逸策略,并不断评估其最新的安全威胁态势。只有通过采取多层次、主动式的防护措施,组织才可以更好地保护他们的数字化资产,面对不断变化的威胁环境。