防范威胁检测措施被绕过的4点建议 - 网安 - 专业的网络安全产业、社区、知识平台

EDR（端点威胁检测和响应）和XDR（扩展威胁检测和响应）解决方案在帮助企业识别和减轻网络攻击威胁方面发挥了重要作用。然而，Lumu公司最新发布的《2023勒索软件调查报告》数据显示，由于EDR/XDR措施被突破而造成的数据泄露数量正在持续上升。攻击者为何能够屡屡得手？

一直以来，针对恶意软件的检测与绕过都是一场防守者和攻击者之间的军备竞赛，不断有新的技术被应用到博弈之中。研究人员发现，目前的攻击者正在大量使用检测规避、漏洞利用和禁用监控等方式来绕过EDR/XDR工具，以实施恶意攻击。在本文中，将探讨组织如何结合安全应对策略与服务，进一步加强EDR/XDR工具的可靠性，并确保网络安全防护措施能够继续发挥出作用。

研究人员发现，目前攻击者用于绕过EDR/XDR防护措施的主要方法包括：

1、CPL和DLL侧加载

CPL文件起初是为了在Windows操作系统上快速访问控制面板中的工具而创建的，现在已经成为不法分子隐藏恶意软件的首选路径之一。而动态链接库（DLL）侧加载技术让攻击者能够诱骗应用程序加载伪造的DLL文件，而不是真实的DLL文件，从而实现了跨多个程序同时共享数据。

为了进行DLL侧加载攻击，攻击者会利用微软应用程序的DLL搜索顺序来诱骗Windows应用程序加载有害的DLL文件。通过将合法DLL换成恶意DLL使应用程序加载它，攻击者的代码就可以感染整个目标系统。

2、恶意代码注入

攻击者会使用代码注入将恶意代码嵌入到合法的应用程序或进程中，从而逃避EDR或EPP系统的检测。通过在另一个活动进程的地址空间中执行任意代码，恶意代码可以隐藏在合法进程的后面，因而更难被识别出来。

研究人员发现，目前有一种流行的代码注入技术是进程镂空（process hollowing），即攻击者使用Windows API的CreateProcess()函数创建一个处于挂起状态的新进程。然后，该进程通过使用相关API函数，从新进程的地址空间中删除合法二进制代码的内存页，从而使新进程中留下空白的地址空间。

3、用户域API拦截

API拦截也是目前被攻击者经常使用的检测绕过技术，可用于监视进程执行和检测更改。“拦截”实际上是截获应用程序之间API调用的行为，这原本是专为开发人员提供的合规帮助工具，但是也为网络攻击者非法拦截应用程序提供便利，它们正在使用这种技术拦截合法API调用，并操纵它们来达到检测绕过的目的。用户域API拦截就是攻击者大量采用的一种方法，用来拦截应用程序对用户空间内的系统库或API的函数调用。通过将函数调用重定向到它们各自的代码，攻击者可以操纵合法应用程序实现其不良意图。

4、沙箱逃逸

在新一代XDR方案中的一个常见功能就是沙箱，可以在特征码检测基础上，从安全虚拟环境中触发未知恶意软件，这对防御者而言非常有用。但这种防护措施也会被攻击者绕开，他们会将恶意软件中添加激活恶意行为的条件，比如增加与受害者的互动，检测自身的运行环境，又或者设置特定的触发时间等。

5、ChatGPT工具

研究人员发现，恶意人员会通过多形态键盘记录器BlackMamba等工具，在没有人为控制的情况下自动篡改代码，这套工具的设计原则是基于一套自动化开发代码规则，将C2基础设施替换成复杂的自动化恶意代码，然后将相关数据传输给攻击者。随着ChatGPT等工具的不断完善，开发者也开始利用这些智能工具来创建能够生成恶意软件变体的代码。这意味着传统BlackMamba工具可以自动生成多个变体的恶意软件代码，不断篡改自身的代码结构和特征，以逃避EDR/XDR（终端检测与响应）系统所采用的检测算法。这样使BlackMamba在被检测和阻止之前能够保持更大程度的隐蔽性和可逃避性。

针对以上安全防护挑战，增强EDR/XDR系统的应用可靠性，研究人员给企业组织提出以下可参考建议：

积极利用威胁情报
研究发现，整合最新的威胁内容和情报将使得EDR/XDR系统变得更加可靠。企业组织应该积极利用威胁情报内容，并定期分析新兴趋势，及时了解不断变化的威胁态势。这有助于主动识别新的恶意软件变体和攻击手法，确保及时检测发现和响应。此外，加强与针对特定行业的信息共享平台合作，可以为企业提供更有效的信息，有助于了解最新的攻击技术和攻陷指标。
构建纵深防御体系
由于EDR/XDR检测绕过难以避免，因此企业需要协同其他安全工具来防止未授权访问。在网络安全领域中，纵深防御代表着一种更加系统、积极的防护战略，它要求合理利用各种安全技术的能力和特点，构建形成多方式、多层次、功能互补的安全防护能力体系，以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。目前，纵深防御已经成为现代企业网络安全建设中的基本性原则之一，包括了部署网络分段、防火墙规则、入侵防御系统和反恶意软件解决方案。
完善事件响应计划
对于现代企业组织来说，必须时刻准备好应对突发的网络安全事件。在严重安全事件发生时，需要能够第一时间制定应急处置方案，充分调动内外部团队资源，并让所有成员明确自己的任务。因此，提前制定专门针对网络威胁事件的全面事件响应计划至关重要。这包括用于隔离受感染系统、遏制传播以及从安全备份恢复关键数据的预定义步骤。企业还应该主动测试响应计划的有效性，通过反复的练习，不断优化改进安全事件响应计划。
增强网络安全弹性
不断发生的勒索攻击和供应链攻击都证明了，在网络安全世界中，弹性比以往任何时候更加重要。虽然部署EDR/XDR等防御能力仍然不可或缺，但这还远远不够。面对当今包罗万象、不断演变的威胁场景，需要将网络风险防护策略深入到整个组织，同时还要提升敏捷性。要想增强网络安全弹性，不仅仅是网络安全团队的事情，而是关乎整个企业的事情。要实现这一目标，就需要整个组织的网络安全知识、技能和意识得到持续提升。