As organizações gastam bilhões em proteção contra malware que é fácil de contornar

Getty Images/Aurich Lawson

No ano passado, as organizações gastaram US$ 2 bilhões em produtos de detecção e resposta de endpoint, proteções relativamente novas projetadas para detectar e bloquear malware direcionado a dispositivos de rede. Os EDRs, como são comumente conhecidos, são uma nova maneira de detectar malware. A análise estática, um dos dois métodos tradicionais, procura caracteres suspeitos no DNA do arquivo. A análise direta, o próximo método mais comum, executa código não confiável em uma caixa de proteção segura para analisar o que está fazendo e certificar-se de que está seguro antes de dar acesso total ao sistema.

A previsão é que até 2031 gerará US$ 18 bilhões em receita e será vendida por dezenas de empresas de segurança, a abordagem da EDR é muito diferente. Em vez de analisar a estrutura ou a execução do código antecipadamente, o EDR rastreia o comportamento do código enquanto ele está sendo executado em um computador ou rede. Em teoria, ele poderia interromper o ransomware em andamento, detectando que um processo executado em centenas de máquinas nos últimos 15 minutos estava criptografando arquivos em massa. Ao contrário da análise estática e dinâmica, o EDR é como um cão de guarda que usa o aprendizado de máquina para monitorar a atividade da máquina ou da rede em tempo real.

 

Nohl en Gimenez

Simplifique a prevenção de EDR

Apesar do hype em torno dos EDRs, uma nova pesquisa mostra que a proteção que eles oferecem não é muito difícil para desenvolvedores de malware experientes. De fato, os pesquisadores acreditam que a isenção de EDR adiciona apenas uma semana adicional de tempo de desenvolvimento a uma infecção típica de grande rede organizacional. Na verdade, a maioria dos EDRs disponíveis na indústria parece ter duas soluções bastante simples, especialmente quando combinadas.


“Evitar EDRs está bem documentado, mas é mais arte do que ciência”, escreveu Carsten Nohl, cientista-chefe da SRLabs em Berlim, por e-mail. “O que há de novo é a percepção de que uma combinação de várias técnicas conhecidas cria um malware que ignora todos os EDRs que testamos.” Isso permite que um invasor acelere os esforços de desvio de EDR.

Programas maliciosos e benignos usam bibliotecas de código para se comunicar com o kernel do sistema operacional. Para fazer isso, as bibliotecas chamam o kernel diretamente. Os EDRs funcionam interrompendo esse fluxo de execução normal. Em vez de chamar o kernel, a biblioteca primeiro chama o EDR, que coleta informações sobre o programa e seu comportamento. Para interromper esse fluxo de execução, o EDR substitui parcialmente as bibliotecas por código adicional chamado “ganchos”.

Jorge Jimenez, pesquisador da Nohl and SRLabs, testou três EDRs amplamente usados ​​vendidos pela Symantec, SentinelOne e Microsoft, e acredita que a amostra representa com precisão a oferta geral do mercado. Para surpresa dos pesquisadores, eles descobriram que todos os três estavam se movendo usando um ou outro desses métodos relativamente simples de evasão fiscal.

Os métodos se concentram em traps usados ​​por BDUs. O primeiro método ignora a função de gancho e faz chamadas de sistema diretas do kernel. Embora essa proteção contra falsificação seja eficaz contra todos os três EDRs testados, ela pode levantar suspeitas contra alguns EDRs, tornando-a não confiável.

 

Nohl en Gimenez

O segundo método, aplicado a um arquivo de biblioteca de vínculo dinâmico, também funcionou nos três EDRs. Isso significa que apenas fragmentos de funções de gancho são usados ​​para evitar o acionamento de ganchos. Para fazer isso, o malware faz uma chamada de sistema indireta. (Um terceiro método, envolvendo funções de desligamento, funcionou contra um EDR, mas era muito suspeito para enganar os outros dois.)

 

Nohl en Gimenez

No laboratório, os pesquisadores colocaram dois malwares comumente usados, um chamado Cobalt Strike e o outro Silver, em arquivos .exe e .dll, usando cada saída. Um dos EDRS – os pesquisadores não especificaram qual – não encontrou uma única amostra. Os outros dois EDRs não conseguiram localizar os arquivos .dll de exemplo. Para obter informações, os pesquisadores também testaram uma solução antivírus comum.

 

Nohl en Gimenez

Os pesquisadores estimaram que o tempo normal de notificação exigido Ignorar os EDRs pode retardar o processo, mas a descoberta de que duas técnicas relativamente simples podem ignorar essa proteção de forma confiável significa que os autores de malware precisam de tanto trabalho extra quanto alguns pensam.

“Comparado ao tempo de atividade típico do Red Team, o EDR normalmente responde por cerca de 12% ou uma semana de ataques que comprometem grandes organizações”, escreveu Knohl.

Os pesquisadores apresentaram seus resultados na semana passada na conferência de segurança Hack-in-the-Box em Cingapura. Nohl disse que os autores de EDR devem se concentrar na detecção de comportamentos maliciosos em geral, em vez de desencadear comportamentos específicos de ferramentas de hackers mais gerais, como o Cobalt Strike. Nohl escreve que esse foco excessivo em certos comportamentos torna o EDR “muito fácil para hackers com ferramentas altamente especializadas”.

“Acreditamos que a análise dinâmica no espaço virtual ainda tem o potencial de fornecer um EDR de endpoint melhor”, disse ele. “Ele pode ser executado na nuvem ou se conectar a gateways de e-mail e proxies da Web para filtrar malware antes que ele chegue ao endpoint.”

 

Leave a Comment