Tero Vesalainen | shutterstock.com
Cybersicherheitsforscher haben einen unheilvollen neuen Angriffsvektor entdeckt. Dabei könnten Angreifer kostenlose Testversionen von Endpoint Detection and Response (EDR)-Software program dazu missbrauchen, vorhandene Sicherheits-Instruments zu deaktivieren. Die Researcher Ezra Woods und Mike Manrod haben das Phänomen entdeckt und dokumentiert, das sie als “EDR-on-EDR Violence” bezeichnen. Ihre Erkenntnisse haben die Sicherheitsexperten in einem Beitrag auf Medium veröffentlicht.
“Zusammenfassend lässt sich sagen, dass EDR/AV-Produkte dazu verwendet werden können, vorhandene Instruments zu deaktivieren oder zu blockieren, Gadgets fernzusteuern. Oder, wie wir in einem Fall festgestellt haben, sogar die gesamte Festplatte zu verschlüsseln”, konstatieren die Forscher. Der neu entdeckte Angriffsvektor mit ironischem Nachgeschmack macht sich eine wenig hinterfragte Grundannahme im Safety-Bereich zunutze. Nämlich, dass legitime Safety-Instruments stets vertrauenswürdig sind.
EDR killt EDR?
Laut den Forschern könnten Angreifer kostenlose Testversionen von EDR-Produkten mit lokalen Administratorrechten auf kompromittierten Systemen installieren und diese dann so konfigurieren, dass sie vorhandene Sicherheits-Instruments blockieren. Im Rahmen ihrer Untersuchungen konnten Woods und Manrod auf diese Artwork und Weise Cisco Safe Endpoint, CrowdStrike Falcon und Elastic Defend erfolgreich deaktivieren. Und zwar ohne dabei Warnmeldungen oder Telemetriedaten von den angegriffenen Systemen zu generieren: Die so kompromittierten Endpunkte erschienen einfach als offline, wie dem Medium-Beitrag zu entnehmen ist. Die Software program, die für den Angriff missbraucht wird, verfügt dabei über gültige digitale Zertifikate und wird als legitim erkannt – ist additionally nur schwer von tatsächlich autorisierten Installationen zu unterscheiden. In der Unternehmenspraxis würden Safety-Groups mit hoher Wahrscheinlichkeit nicht erkennen, dass die Schutzmaßnahmen absichtlich sabotiert wurden.
“Das lässt sich bewerkstelligen, indem Exclusions entfernt werden und dann der Hash des existierenden AV/EDR-Produkts zur Liste blockierter Anwendungen hinzugefügt wird”, erklären die Forscher in ihrer Analyse. EDR-Produkte mit Distant-Monitoring- und -Administration-Funktionalitäten eröffneten laut Woods und Manrod ein besonders breites Spektrum an Missbrauchsmöglichkeiten. So battle es den Forschern etwa im Zusammenspiel mit dem EDR-Produkt von ESET möglich, eine kompromittierte Instanz zu installieren und darüber die Festplatte des Zielsystems vollständig zu verschlüsseln.
“Was diesen Angriffsvektor so interessant macht, ist, dass er zumindest einige Produkte deaktivieren kann, selbst wenn der Manipulationsschutz aktiviert ist”, schreiben die Forscher. Sie weisen darauf hin, dass der Angriff zwar lokale Administratorrechte erfordere – im Vergleich zu herkömmlichen EDR-Umgehungstechniken wie BYOVD (Deliver Your Personal Susceptible Driver) oder DLL-Unhooking stelle er jedoch einen weniger komplexen Ansatz dar.
Unternehmen, die sich gegen diesen Angriffsvektor absichern möchten, raten die Sicherheitsforscher dazu:
- Lösungen zur Anwendungskontrollle einzusetzen, um die Set up nicht autorisierter Sicherheitssoftware zu blockieren,
- benutzerdefinierte Angriffsindikatoren zu implementieren, um verdächtige EDR-Installationen zu erkennen, und
- “Utility-aware” Firewalls und Safe Internet Gateways zu nutzen, um den Zugriff auf nicht autorisierte Portale von Sicherheitsanbietern zu verhindern.
Woods und Manrod teilen in ihrem Medium-Beitrag auch eine detaillierte Anleitung, um Sicherheitsteams und -experten zu ermöglichen, ihre Erkenntnisse zu replizieren, zu testen und den Angriffsvektor besser zu durchdringen. Dabei empfehlen sie, kontrollierte Exams mit isolierten Systemen durchzuführen. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser E-newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
