最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

防病毒和EDR解决方案被骗充当数据擦除器

网络安全 快米云 来源:快米云 243浏览

带有电脑笑脸的威胁演员

一位安全研究人员找到了一种方法,可以利用 Microsoft、SentinelOne、TrendMicro、Avast 和 AVG 广泛使用的端点检测和响应 (EDR) 和防病毒 (AV) 软件的数据删除功能,将它们变成数据擦除器。

Wipers 是一种特殊类型的破坏性恶意软件,它会故意擦除或破坏受感染系统上的数据,并试图让受害者无法恢复数据。

SafeBreach 研究员 Or Yair 提出了利用目标系统上现有安全工具的想法,使攻击更加隐蔽,并消除威胁行为者成为特权用户进行破坏性攻击的需要。

此外,滥用 EDR 和 AV 进行数据擦除是绕过安全防御的好方法,因为安全解决方案的文件删除功能是预期的行为,很可能会被遗漏。

触发(错误的)删除

防病毒和 EDR 安全软件会不断扫描计算机的文件系统以查找恶意文件,并在检测到恶意软件时尝试隔离或删除它们。

此外,在启用实时保护的情况下,当文件被创建时,它会被自动扫描以确定它是否是恶意的,如果是,则删除/隔离。

“当 EDR 删除恶意文件时,有两个主要事件。首先,EDR 将文件识别为恶意文件,然后删除该文件,”Yair 在他的报告中解释道。

“如果我可以在这两个事件之间做一些事情,使用一个连接点,我可能能够将 EDR 指向不同的路径。这些被称为检查时间到使用时间 (TOCTOU) 漏洞。

Yair 的想法是创建一个 C:\temp\Windows\System32\drivers 文件夹,并将 Mimikatz 程序作为 ndis.sys 存储在该文件夹中。

由于 Mimikatz 被大多数 EDR 平台(包括 Microsoft Defender)检测到,因此计划在创建时将其检测为恶意软件。然而,在 EDR 删除文件之前,研究人员会迅速删除 C:\Temp 文件夹并创建一个从 C:\Temp 到 C:\Windows 的 Windows 连接。

希望 EDR 会尝试删除 ndis.sys 文件,由于连接,该文件现在指向合法的 C:\Windows\system32\drivers\ndis.sys 文件。

删除恶意目录并使用联结点指向目标
删除恶意目录并使用连接指向目标 (SafeBreach)

这行不通,因为某些 EDR 在文件被检测为恶意文件后会阻止对文件的进一步访问,包括删除文件。在其他情况下,EDR 检测到恶意文件被删除,因此软件取消了待处理的擦除操作。

解决方案是创建恶意文件,通过保持其打开来控制其句柄,并且不定义允许哪些其他进程写入/删除它,以便检测到它的 EDR 和 AV 无法擦除它。

在检测被触发且无权删除文件后,安全工具提示研究人员批准系统重启以释放句柄,释放恶意文件以供删除。

提示重启的安全工具
提示重启的安全工具 (SafeBreach)

在这种情况下,文件删除命令是在 PendingFileRenameOperations Registry 注册表值下编写的,这将导致它在重新启动期间被删除。

但是,当删除此值中的文件时,Windows 会在“盲目”跟随路口的同时删除文件。

“但是这个默认的 Windows 功能令人惊讶的是,一旦它重新启动,Windows 就会开始删除所有路径并盲目地跟随路口,”Yair 警告说。

因此,通过执行以下五步过程,Yair 可以删除他没有修改权限的目录中的文件。

  1. 在 C:\temp\Windows\System32\drivers\ndis.sys 中创建带有恶意文件的特殊路径
  2. 按住它的手柄并强制 EDR 或 AV 将删除操作推迟到下一次重启之后
  3. 删除 C:\temp 目录
  4. 创建连接 C:\temp → C:\
  5. 出现提示时重新启动。

“此漏洞对 Windows 中称为受控文件夹访问的勒索软件保护功能也有效。此功能可防止未经处理的进程修改或删除受保护文件夹列表中列出的文件夹中包含的任何文件。但是,由于 EDR 或 AV是系统上最受信任的实体,此功能不会阻止他们删除这些文件。” –安全突破

分析师将该漏洞利用到他命名为“Aikido Wiper”的擦除器工具中,该工具完全无法检测到,可以由非特权用户启动以擦除管理员用户目录中的数据,甚至可以使系统无法启动。

影响和响应

Yair 针对 11 种安全工具测试了该漏洞,发现 Microsoft Defender、Defender for Endpoint、SentinelOne EDR、TrendMicro Apex One、Avast Antivirus 和 AVG Antivirus 都存在漏洞。

不可利用的安全解决方案包括 Palo Alto、Cylance、CrowdStrike、McAfee 和 BitDefender,分析师也对这些解决方案进行了测试。

经测试的安全产品
经过测试的安全产品 (SafeBreach)

合气道利用 Microsoft Defender、Defender for Endpoint 和 SentinelOne EDR 中发现的漏洞,因为它们最容易在擦除器工具上实现。

Yair 在 2022 年 7 月至 2022 年 8 月期间向所有易受攻击的供应商报告了这些缺陷,他们现在都已发布修复程序。

供应商针对此问题分配的漏洞 ID 为CVE-2022-37971 (Microsoft)、CVE-2022-45797 (Trend Micro) 和CVE-2022-4173(Avast 和 AVG)。

固定版本是:

  • Microsoft 恶意软件保护引擎:1.1.19700.2 或更高版本
  • TrendMicro Apex One:修补程序 23573 和 Patch_b11136 或更高版本
  • Avast & AVG Antivirus:22.10 或更高版本

建议上述产品的所有用户尽快应用安全更新,以减轻其文件被模仿合气道擦除器功能的恶意软件擦除的严重风险。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 防病毒和EDR解决方案被骗充当数据擦除器