近日，安全研究員Shmuel Cohen在Black Hat Asia大會(huì)上展示了如何用逆向工程破解Palo Alto Networks的Cortex XDR安全軟件，并將其轉(zhuǎn)換為隱蔽持久的“超級(jí)惡意工具“，用于部署后門程序和勒索軟件。這一發(fā)現(xiàn)凸顯了EDR/XDR等強(qiáng)大安全工具的潛在風(fēng)險(xiǎn)，也為網(wǎng)絡(luò)安全防御敲響了警鐘。

XDR（Extended Detection and Response）是一種集成了威脅檢測、調(diào)查和響應(yīng)功能的安全解決方案，能夠?yàn)槠髽I(yè)提供全面的安全防護(hù)。然而，強(qiáng)大的功能也伴隨著潛在的風(fēng)險(xiǎn)。Shmuel Cohen的研究表明，EDR/XDR本身也可能成為攻擊者的目標(biāo)，被用來實(shí)施惡意攻擊。

Cohen通過逆向工程和分析Cortex XDR軟件，發(fā)現(xiàn)了一些可以被利用的漏洞。他利用這些漏洞，成功地繞過了Cortex XDR的安全機(jī)制（包括機(jī)器學(xué)習(xí)檢測模塊、行為模塊規(guī)避、實(shí)時(shí)預(yù)防規(guī)則以及防止文件篡改的過濾驅(qū)動(dòng)程序保護(hù)）。

具體來說，Cohen做到以下幾件事：

• 修改了XDR的安全規(guī)則，使其無法檢測到他的惡意活動(dòng)。
• 部署了后門程序，使他能遠(yuǎn)程控制受感染的計(jì)算機(jī)。
• 植入了勒索軟件，向受害者索取贖金。
• 敏感用戶賬號(hào)泄露
• 在系統(tǒng)中長期駐留（無法從管理界面遠(yuǎn)程刪除）
• 整機(jī)加密（FUD）
• 完整的LSASS內(nèi)存轉(zhuǎn)儲(chǔ)
• 隱藏惡意活動(dòng)通知
• 繞過XDR管理員密碼
• 全面利用XDR實(shí)施攻擊

Cohen指出，雖然Palo Alto Networks與其合作修復(fù)了漏洞并發(fā)布補(bǔ)丁程序，但其他XDR平臺(tái)也很可能存在類似的漏洞，容易受到攻擊。

Cohen的攻擊證明，即使是像Palo Alto Cortex XDR這樣的知名安全軟件也并非絕對安全。

安全專家指出，用戶部署使用功能強(qiáng)大的安全工具時(shí)，不可避免地存在“魔鬼交易“：為了讓這些安全工具完成工作，必須授予它們高級(jí)權(quán)限來訪問系統(tǒng)中的每個(gè)角落。

例如，為了跨IT系統(tǒng)執(zhí)行實(shí)時(shí)監(jiān)控和威脅檢測，XDR需要盡可能高的權(quán)限，訪問非常敏感的信息，而且啟動(dòng)時(shí)不能被輕易刪除。

這意味著一旦攻擊者能夠利用安全軟件的漏洞，就可將其變成殺傷力極大的攻擊武器。因此，企業(yè)在部署EDR/XDR等安全解決方案時(shí)，需要提高警惕，加強(qiáng)安全管理，并定期進(jìn)行安全評(píng)估和漏洞修復(fù)。