黑客正在寻找规避最新网络安全工具的方法 - 彭博社
Jordan Robertson
随着黑客行为变得更具破坏性和普遍性,包括 CrowdStrike Holdings Inc. 和 Microsoft Corp. 在内的公司提供的一种强大工具已成为网络安全行业的福音。
这种被称为 终端检测和响应软件,旨在及早发现笔记本电脑、服务器和其他设备上的恶意活动迹象 —— 计算机网络中的“终端”,并在入侵者窃取数据或锁定设备之前将其阻止。
但专家表示,黑客已经针对某些形式的技术开发了解决方法,使他们能够绕过已成为保护关键系统黄金标准的产品。
例如,在过去的两年中,Mandiant,这是Alphabet Inc.的 Google Cloud 部门的一部分,已调查了 84 起 EDR 或其他终端安全软件被篡改或禁用的事件,该公司的首席威胁分析师 Tyler McLellan 表示。
这些发现代表了一个持续几十年的猫鼠游戏的最新演变,随着黑客调整他们的技术以克服最新的网络安全保护措施,根据曾在 McAfee 和 Microsoft 担任高级职位,现在是英国网络安全企业家的 Mark Curphey 的说法。
“黑客安全保护工具并不是什么新鲜事,”他说,并补充说,“如果成功,奖励就是访问使用这些工具的所有系统,根据定义,这些系统值得保护。”
多家网络安全公司的调查人员表示,绕过或禁用EDR的攻击数量虽小但在增长,黑客在寻找规避其提供的更强保护措施方面变得更具创造力。
去年12月,微软在一篇博客文章中披露,黑客欺骗公司将其真实性标记应用于恶意软件,然后用于禁用公司的EDR和受害者网络上的其他安全工具。微软暂停了涉及此诡计的第三方开发者账户,并表示公司正在“努力寻找长期解决方案,以解决这些欺骗行为并防止未来对客户的影响。”
今年2月,Arctic Wolf Networks 详细描述了去年底调查的一个案例,Lorenz勒索软件组的黑客最初被受害者的EDR阻挡。该公司表示,黑客重新组织并部署了一个免费的数字取证工具,使他们能够直接访问计算机的内存并成功部署了他们的勒索软件,绕过了EDR。Arctic Wolf没有透露受害者或受影响的EDR。
今年4月,Sophos Group 披露了一种新发现的恶意软件,这种软件已被用于禁用微软、Sophos本身和其他几家公司的EDR工具,然后部署Lockbit和Medusa Locker勒索软件。“绕过EDR并禁用安全软件显然是一种不断增长的策略,”威胁研究高级经理克里斯托弗·巴德说。“由于这种攻击的性质,它特别难以检测,因为它针对的是检测和防止网络攻击的工具本身。”
EDR和其他新的端点安全技术市场去年全球增长了27%,达到86亿美元,由IDC称领导者是CrowdStrike和微软。
CrowdStrike的高级副总裁亚当·迈耶斯表示,对EDR软件的攻击数量不断增加表明黑客“一直在进化”。CrowdStrike跟踪的许多攻击——针对其产品和竞争对手的攻击——涉及客户系统的错误配置或软件或固件深处的漏洞,这表明黑客不得不更加努力地进入目标网络,他说。“这是一个向底层堆栈的竞赛,”迈耶斯说。“我们正在尝试越来越低,越来越接近硬件,你越接近硬件,攻击就越难阻止。”
微软代表拒绝对本故事发表评论。
十年前,杀毒软件制造商是PC和其他端点安全产品的主要供应商。随着越来越先进的攻击暴露了依赖分析师手动创建新恶意软件变种的数字“签名”来阻止它们的技术的弱点,它们的受欢迎程度下降了,根据网络安全专家的说法。
勒索软件和其他破坏性攻击的兴起推动了对EDR和类似技术的需求,这些技术旨在更早地检测和阻止感染。这些工具寻找更多恶意活动的信号,并自动化许多耗时的调查和修复违规行为的任务。
彭博社揭露的一起此前未报告的事件发生在十月份,当时总部位于丹麦哥本哈根的CSIS安全集团调查了一家欧洲制造公司的数据泄露事件。
黑客利用了微软EDR中一个之前未知的漏洞,并将恶意软件打包在一种方式中,以致安全工具检测到并警告受害公司的IT团队攻击已被阻止,据CSIS首席创新官兼负责人Jan Kaastrup称。调查。但黑客并未被阻止,能够在网络中漫游三周,他说。直到受害公司发现数据正在离开其企业网络并联系了丹麦安全公司,才发现了数据泄露事件。Kaastrup拒绝透露受害公司的身份,但允许彭博社查看匿名的事件报告副本。该公司向微软报告了这个问题,微软拒绝就此事向彭博发表评论。
他说,从最近的事件中得到的教训很简单:技术只能在一定程度上抵御决心坚定的黑客。
“安全软件不能独立存在 —— 你需要屏幕上的眼睛结合技术,”他说。EDR“比杀毒软件好得多。所以你肯定需要它。它只不过不是某些人认为的灵丹妙药。”