2022年1月份的一篇研究論文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》，一個(gè)希臘學(xué)者團(tuán)隊(duì)測(cè)試了當(dāng)今18家頂級(jí)網(wǎng)絡(luò)安全公司的端點(diǎn)檢測(cè)和響應(yīng)（EDR）軟件，發(fā)現(xiàn)許多軟件未能檢測(cè)到高級(jí)持續(xù)威脅行為者（如國(guó)家支持的間諜組織和勒索軟件團(tuán)伙）使用的一些最常見(jiàn)的攻擊技術(shù)。

希臘雅典比雷埃夫斯大學(xué)的兩位學(xué)者George Karantzas和Constantinos Patsakis說(shuō)："我們的結(jié)果表明，EDR仍有很大的改進(jìn)空間，因?yàn)樽钕冗M(jìn)的EDR未能防止和記錄這項(xiàng)工作中報(bào)告的大部分攻擊。

1典型的攻擊場(chǎng)景

這項(xiàng)研究在去年發(fā)表的一篇題為 《針對(duì)高級(jí)持續(xù)性威脅攻擊媒介的終端檢測(cè)和響應(yīng)系統(tǒng)的實(shí)證評(píng)估（An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors）》的論文中詳細(xì)介紹了EDR軟件，該軟件是經(jīng)典殺毒程序的演變，使用靜態(tài)和動(dòng)態(tài)分析方法來(lái)檢測(cè)惡意軟件，但也監(jiān)測(cè)、收集和匯總來(lái)自終端的數(shù)據(jù)，試圖檢測(cè)依靠更隱蔽技術(shù)的惡意行為，如濫用合法應(yīng)用程序來(lái)實(shí)施攻擊。

今天，EDR結(jié)合了從靜態(tài)文件簽名規(guī)則到高級(jí)機(jī)器學(xué)習(xí)模塊的所有內(nèi)容，被認(rèn)為是安全軟件方面最頂端的解決方案。然而，它們并不完美。

Karantzas和Patsakis的研究旨在找出當(dāng)今一些最大公司的EDR在面對(duì)模擬常見(jiàn)APT殺傷鏈的各種簡(jiǎn)單攻擊時(shí)的表現(xiàn)。

他們的工作包括購(gòu)買(mǎi)一個(gè)成熟的過(guò)期域名來(lái)托管惡意軟件的有效載荷，用Let's Encrypt SSL證書(shū)來(lái)保護(hù)該域名，并托管攻擊中常用的四種類(lèi)型的文件，如：

一個(gè)Windows控制面板的快捷方式文件（.cpl）。

一個(gè)合法的Microsoft Teams安裝程序（將加載一個(gè)惡意的DLL）。

一個(gè)未簽署的可移植可執(zhí)行文件（EXE）。

一個(gè)HTML應(yīng)用程序（HTA）文件。

一旦執(zhí)行，這四個(gè)文件都會(huì)濫用合法功能來(lái)加載和運(yùn)行Cobalt Strike Beacon后門(mén)。

這個(gè)攻擊鏈背后的想法是，這四個(gè)文件和Beacon后門(mén)是常規(guī)的有效載荷，通常是作為魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件活動(dòng)的一部分發(fā)送給受害者的，如果企業(yè)部署了EDR，那就都應(yīng)該檢測(cè)、阻止或至少提醒安全團(tuán)隊(duì)。

2已測(cè)試的EDR和結(jié)果

研究小組針對(duì)Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR軟件測(cè)試這些攻擊。結(jié)果見(jiàn)下表。

表：每個(gè)測(cè)試解決方案的攻擊匯總結(jié)果。

符號(hào)：√：成功的攻擊，◇：成功的攻擊，引發(fā)了中級(jí)警報(bào)，·：成功的攻擊，引發(fā)輕微警報(bào)，★: 攻擊成功，發(fā)出警報(bào)，◇：攻擊不成功，未發(fā)出警報(bào)，×：攻擊失敗，發(fā)出警報(bào)，＋：在供應(yīng)商提供的兩個(gè)實(shí)驗(yàn)中，第一個(gè)實(shí)驗(yàn)在5小時(shí)后被檢測(cè)到，第二個(gè)實(shí)驗(yàn)在25分鐘后被檢測(cè)到，⊙：最初的測(cè)試由于文件簽名而被阻止，第二項(xiàng)測(cè)試在另一個(gè)應(yīng)用程序中成功。

結(jié)果顯示，在測(cè)試的EDR中，只有兩個(gè)產(chǎn)品對(duì)所有的攻擊載體都有全面的覆蓋，公司的防御系統(tǒng)起了作用。

研究小組認(rèn)為，這種情況下，EDR將面臨被攻擊者關(guān)閉或至少禁用其遙測(cè)功能，而防御者就會(huì)看不到受感染的系統(tǒng)上可能會(huì)發(fā)生的情況，這就允許威脅者準(zhǔn)備對(duì)本地網(wǎng)絡(luò)的進(jìn)一步攻擊。

但并不是所有的EDR都在這項(xiàng)實(shí)驗(yàn)中進(jìn)行了測(cè)試。

研究人員去年在Huntress實(shí)驗(yàn)室高級(jí)安全人員John Hammond的YouTube上發(fā)表的視頻中說(shuō)，并不是所有的EDR供應(yīng)商都同意開(kāi)放他們的產(chǎn)品進(jìn)行測(cè)試，甚至他們測(cè)試的18種產(chǎn)品中，有一些是在SOC和CERT團(tuán)隊(duì)等中介機(jī)構(gòu)的幫助下完成的。而他們的研究一經(jīng)上線，一些供應(yīng)商就主動(dòng)聯(lián)系并詢問(wèn)有關(guān)情況以及他們可以改進(jìn)其產(chǎn)品的方法。

聯(lián)系我們索要詳細(xì)報(bào)告?！夺槍?duì)高級(jí)持續(xù)性威脅攻擊媒介的終端檢測(cè)和響應(yīng)系統(tǒng)的實(shí)證評(píng)估（An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors）》，詳細(xì)了解實(shí)驗(yàn)方法，步驟及結(jié)論。

3有效的加強(qiáng)防御的方案-移動(dòng)目標(biāo)防御技術(shù)

現(xiàn)有的安全防御理念，想的是怎么找到更多的漏洞，找到更多的特征，提高檢測(cè)的效率。特征庫(kù)可以從1G變到10G，但是對(duì)網(wǎng)絡(luò)安全的理念是沒(méi)有變化的。今天的安全模型優(yōu)先考慮監(jiān)控，檢測(cè)，預(yù)防和修復(fù)，安全團(tuán)隊(duì)以靜態(tài)的基礎(chǔ)架構(gòu)為基礎(chǔ)，防御千變?nèi)f化的攻擊方法，嚴(yán)重不對(duì)稱(chēng)。攻擊者有足夠的時(shí)間研究靜態(tài)基礎(chǔ)設(shè)施和靜態(tài)的防御技術(shù)。所以隨著時(shí)間的增加，攻擊者攻擊一個(gè)目標(biāo)，時(shí)間越長(zhǎng)，攻擊難度越小，獲取更多架構(gòu)信息，攻擊經(jīng)驗(yàn)不斷累積。

移動(dòng)目標(biāo)防御技術(shù)是一種顛覆性的防御理念，不是優(yōu)化目前的防御方式。通過(guò)不斷變化攻擊面，不是讓終端產(chǎn)品沒(méi)有后門(mén)，沒(méi)有漏洞，而是把攻擊變成概率問(wèn)題。讓攻擊者隨著攻擊時(shí)間越長(zhǎng)，難度越大，大大增加了攻擊者攻擊的成本，扭轉(zhuǎn)了攻防不對(duì)稱(chēng)的局面。

虹科提供的是基于移動(dòng)目標(biāo)防御（Moving Target Defense）技術(shù)的終端解決方案，可以阻止繞過(guò)NGAV、EDR和EPP的勒索軟件、零日，無(wú)文件攻擊，內(nèi)存攻擊等高級(jí)攻擊。我們的防御原理是：當(dāng)一個(gè)應(yīng)用程序加載到內(nèi)存空間時(shí)，會(huì)對(duì)進(jìn)程結(jié)構(gòu)進(jìn)行變形，使內(nèi)存對(duì)攻擊者來(lái)說(shuō)始終是不可預(yù)測(cè)的。應(yīng)用程序照常加載運(yùn)行，原始框架結(jié)構(gòu)會(huì)留作陷阱；攻擊目標(biāo)是原始框架結(jié)構(gòu)，但是由于無(wú)法找到預(yù)期的和需要的資源而失敗。攻擊就被立即防御、捕獲和記錄，并帶有完整的取證細(xì)節(jié)。

4方案推薦

Morhpisec（摩菲斯）——在網(wǎng)絡(luò)安全的前沿

Morphisec（摩菲斯）作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類(lèi)攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門(mén)程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費(fèi)的Guard Lite解決方案，將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。請(qǐng)聯(lián)系我們免費(fèi)獲??！