EDR面臨的防護困境

最新消息與洞察

NEITHNET 資安實驗室

  近年EDR產品百家爭鳴,眼花撩亂的產品選擇,常讓評估採購的一線人員暈頭轉向。但近日接連發生的攻擊事件,更加讓人擔憂是否添購防護產品依然無法有效阻擋惡意行為的入侵?如11月9日由隸屬Trendmicro的Hara Hiroaki與Ted Lee揭露的《Hack the Real Box: APT41’s New Subgroup Earth Longzhi》[註1]、10月4日由SOPHOS的Andreas Klopsch披露《Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse》[註2],與5月2號由Trendmicro的Christoper Ordonez與Alvin Nieto發表的《AvosLocker Ransomware Variant Abuses Driver File to Disable Antivirus, Scans for Log4shell》[註3],上述資安事件皆包含驅動程式的漏洞利用。

  除了利用知名的微星科技驅動程式RTCore64.sys來達到自帶驅動程式攻擊手法(Bring Your Own Vulnerable Driver, BYOVD),或者是利用其他EDR/AV的Anti-Rootkit Driver來禁用其他廠商的防護系統甚或關閉Windows Defender,此入侵方式令第一線人員難以輕易察覺。其中之一的手法是關閉特定Process,透過EPROCESS追蹤到HANDLE_TABLE_ENTRY,且利用RTCore64.sys來改寫GrantedAccessBits[註4]的內容。另一手法則是透過獲取PsSetCreateProcessNotifyRoutine[註5]與IoCreateDriver的記憶體位址,在上述的位址範圍中找到PspCreateProcessNotifyRoutine,且調用了ExReferenceCallBackBlock,而且函數回傳值的類型為EX_CALLBACK_ROUTINE_BLOCK(如圖一)。

圖一:EX_CALLBACK_ROUTINE_BLOCK結構

  EX_CALLBACK_ROUTINE_BLOCK中的Function存放的即是我們註冊的Callback位址,透過檢查驅動檔案的屬性String來決定是否覆蓋指針,達到移除已註冊Callback的效果。

  對於核心底層的攻擊手法,一直以來都較難被偵測,除了落實一般人員的基礎資安教育訓練來防範電子郵件社交工程與網路釣魚外,避免使用或禁用易遭受攻擊的驅動程式,或是允許資安團隊對易受攻擊的驅動程序安裝進行稽核。NEITHNET針對底層與混和攻擊提供了NEITHSeeker(MDR)與NEITHViewer 解決方案。NEITHSeeker可分析端點異常行為,讓入侵潛伏的威脅無所遁形;NEITHViewer則負責蒐集監控網路流量,即便惡意攻擊躲藏在驅動層級規避了Agent的檢查,NEITHViewer也可在惡意程式進行C2 Callbacks或橫向移動時將其捕獲。

  面對日漸繁複的攻擊手法層出不窮,常讓一般企業如深陷氤氳靉靆之中,NEITHNET深知多數企業無法組建專業完整的資安團隊,來抵擋如洪水猛獸般的惡意網路攻擊。NEITHNET 提供多項網路威脅防禦解決方案,並可針對不同網路架構量身訂做安全防護策略,攜手迎向更安全的彼岸。

註1:Hara Hiroaki, Ted Lee《Hack the Real Box: APT41’s New Subgroup Earth Longzhi》,Hack the Real Box: APT41’s New Subgroup Earth Longzhi (trendmicro.com)
註2:Andreas Klopsch,《Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse》,Remove All The Callbacks – BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse – Sophos News
註3:Christoper Ordonez, Alvin Nieto, 《AvosLocker Ransomware Variant Abuses Driver File to Disable Antivirus, Scans for Log4shell》, AvosLocker Ransomware Variant Abuses Driver File to Disable Anti-Virus, Scans for Log4shell (trendmicro.com)
註4:GrantedAccessBits即為HANDLE的權限描述,將值修改為0x1FFFFF: PROCESS_ALL_ACCESS。
註5:部分EDR也是透過PsSetCreateProcessNotifyRoutine來監控Process的創建。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。