0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

【最新评估报告】最先进的EDR并不完美,无法检测到常见的攻击!

虹科网络可视化技术 2022-05-27 10:51 次阅读

2022年1月份的一篇研究论文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》,一个希腊学者团队测试了当今18家顶级网络安全公司的端点检测和响应(EDR)软件,发现许多软件未能检测到高级持续威胁行为者(如国家支持的间谍组织和勒索软件团伙)使用的一些最常见的攻击技术。

希腊雅典比雷埃夫斯大学的两位学者George Karantzas和Constantinos Patsakis说:"我们的结果表明,EDR仍有很大的改进空间,因为最先进的EDR未能防止和记录这项工作中报告的大部分攻击。

be7222ac-dd11-11ec-b80f-dac502259ad0.png1典型的攻击场景

这项研究在去年发表的一篇题为 《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的论文中详细介绍了EDR软件,该软件是经典杀毒程序的演变,使用静态和动态分析方法来检测恶意软件,但也监测、收集和汇总来自终端的数据,试图检测依靠更隐蔽技术的恶意行为,如滥用合法应用程序来实施攻击。

今天,EDR结合了从静态文件签名规则到高级机器学习模块的所有内容,被认为是安全软件方面最顶端的解决方案。然而,它们并不完美。

Karantzas和Patsakis的研究旨在找出当今一些最大公司的EDR在面对模拟常见APT杀伤链的各种简单攻击时的表现。

他们的工作包括购买一个成熟的过期域名来托管恶意软件的有效载荷,用Let's Encrypt SSL证书来保护该域名,并托管攻击中常用的四种类型的文件,如:

一个Windows控制面板的快捷方式文件(.cpl)。

一个合法的Microsoft Teams安装程序(将加载一个恶意的DLL)。

一个未签署的可移植可执行文件(EXE)。

一个HTML应用程序(HTA)文件。

一旦执行,这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。

这个攻击链背后的想法是,这四个文件和Beacon后门是常规的有效载荷,通常是作为鱼叉式网络钓鱼电子邮件活动的一部分发送给受害者的,如果企业部署了EDR,那就都应该检测、阻止或至少提醒安全团队。


be7222ac-dd11-11ec-b80f-dac502259ad0.png2已测试的EDR和结果

研究小组针对Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR软件测试这些攻击。结果见下表。

EDR

CPL

HTA

EXE

DLL

BitDefender GravityZonePlus

×

×

×

Carbon Black Response

·

×

Check Point Harmony

×

×

思科AMP

×

×

Comodo OpenEDR

×

×

CrowdStrikeFaleon

×

Elastic EDR

×

×

F-Secure Elements 终端检测和响应

×

FortiEDR

×

×

×

×

微软终端防御系统

×

×

Panda Adaptive Defense 360

×

Sentinel One (不含测试功能)

×

Sentinel One (含测试功能)

×

×

×

×

Sophos Intercept X with EDR

×

×

Trend micro Apex One

·

·

终端保护

ESET PROTECT Enterprise

×

×

F-Secure Elements 终端: 保护平台

Kaspersky终端安全

×

×

×

McAfee终端保护

×

×

Symantec 终端保护

×

表:每个测试解决方案的攻击汇总结果。

符号:√:成功的攻击,◇:成功的攻击,引发了中级警报,·:成功的攻击,引发轻微警报,★: 攻击成功,发出警报,◇:攻击不成功,未发出警报,×:攻击失败,发出警报,+:在供应商提供的两个实验中,第一个实验在5小时后被检测到,第二个实验在25分钟后被检测到,⊙:最初的测试由于文件签名而被阻止,第二项测试在另一个应用程序中成功。

结果显示,在测试的EDR中,只有两个产品对所有的攻击载体都有全面的覆盖,公司的防御系统起了作用。

研究小组认为,这种情况下,EDR将面临被攻击者关闭或至少禁用其遥测功能,而防御者就会看不到受感染的系统上可能会发生的情况,这就允许威胁者准备对本地网络的进一步攻击。

但并不是所有的EDR都在这项实验中进行了测试。

研究人员去年在Huntress实验室高级安全人员John Hammond的YouTube上发表的视频中说,并不是所有的EDR供应商都同意开放他们的产品进行测试,甚至他们测试的18种产品中,有一些是在SOC和CERT团队等中介机构的帮助下完成的。而他们的研究一经上线,一些供应商就主动联系并询问有关情况以及他们可以改进其产品的方法。


联系我们索要详细报告。《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》,详细了解实验方法,步骤及结论。

beb1e9f0-dd11-11ec-b80f-dac502259ad0.gif

be7222ac-dd11-11ec-b80f-dac502259ad0.png3有效的加强防御的方案-移动目标防御技术

现有的安全防御理念,想的是怎么找到更多的漏洞,找到更多的特征,提高检测的效率。特征库可以从1G变到10G,但是对网络安全的理念是没有变化的。今天的安全模型优先考虑监控,检测,预防和修复,安全团队以静态的基础架构为基础,防御千变万化的攻击方法,严重不对称。攻击者有足够的时间研究静态基础设施和静态的防御技术。所以随着时间的增加,攻击者攻击一个目标,时间越长,攻击难度越小,获取更多架构信息,攻击经验不断累积。

移动目标防御技术是一种颠覆性的防御理念,不是优化目前的防御方式。通过不断变化攻击面,不是让终端产品没有后门,没有漏洞,而是把攻击变成概率问题。让攻击者随着攻击时间越长,难度越大,大大增加了攻击者攻击的成本,扭转了攻防不对称的局面。

虹科提供的是基于移动目标防御(Moving Target Defense)技术的终端解决方案,可以阻止绕过NGAV、EDR和EPP的勒索软件、零日,无文件攻击,内存攻击等高级攻击。我们的防御原理是:当一个应用程序加载到内存空间时,会对进程结构进行变形,使内存对攻击者来说始终是不可预测的。应用程序照常加载运行,原始框架结构会留作陷阱;攻击目标是原始框架结构,但是由于无法找到预期的和需要的资源而失败。攻击就被立即防御、捕获和记录,并带有完整的取证细节。

be7222ac-dd11-11ec-b80f-dac502259ad0.png4方案推荐

bf68389a-dd11-11ec-b80f-dac502259ad0.png

Morhpisec(摩菲斯)——在网络安全的前沿

bf864a10-dd11-11ec-b80f-dac502259ad0.png

Morphisec(摩菲斯)作为移动目标防御的领导者,已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案,每天保护800多万个端点和服务器免受许多最先进的攻击。事实上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击,这些攻击是NGAV、EDR解决方案和端点保护平台(EPP)未能检测和/或阻止的。(例如,Morphisec客户的成功案例,Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下,在第零日就被阻止的此类攻击的例子包括但不限于:

勒索软件(例如,Conti、Darkside、Lockbit)

后门程序(例如,Cobalt Strike、其他内存信标)

供应链(例如,CCleaner、华硕、Kaseya payloads、iTunes)

恶意软件下载程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec(摩菲斯)为关键应用程序windows和linux本地和云服务器提供解决方案,2MB大小快速部署。

免费的Guard Lite解决方案,将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取!

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    9

    文章

    2916

    浏览量

    58614
  • EDR
    EDR
    +关注

    关注

    0

    文章

    19

    浏览量

    1915
收藏 人收藏

    评论

    相关推荐

    终端设备经常无法检测到fx3(CYUSB3065)的uvc camera怎么解决?

    你好,我们现在生成的板子采用uvc ov5640方案,但是我们在测试过程经常发现有的手机通过type-c线连接cx3时,经常无法检测到uvc设备,但是有的手机或者电脑支持比较好。最主要的一个现象
    发表于 02-28 07:03

    使用xmc flasher和xmc链接,插入xmc时Flasher软件无法检测到是为什么?

    我正在尝试使用 xmc flasher 和 xmc 链接。 插入 xmc 链接时,Flasher 软件无法检测到。 我在 MS Surface 和戴尔电脑上试过。 都不起作用。
    发表于 01-30 07:38

    edr系统软件有什么用 EDR系统与传统杀毒软件有什么区别

    EDR(Endpoint Detection and Response)系统软件是一种用于监测和应对网络终端设备上的安全威胁的软件。 一、EDR系统软件的作用: 实时监测和检测EDR
    的头像 发表于 01-19 10:15 805次阅读

    维修安捷伦54621A示波器无法检测到信号案例

    近日山东某企业送修安捷伦示波器54621A,客户反馈无法检测到信号,对仪器进行初步检测,确定与客户描述故障基本一致。本期将为大家分享本维修案例。 下面就是安捷伦-54621A维修情况   安捷伦
    的头像 发表于 01-17 17:33 209次阅读
    维修安捷伦54621A示波器<b class='flag-5'>无法</b><b class='flag-5'>检测到</b>信号案例

    ADXL345无法检测到落体运动如何解决?

    在用加速度传感器ADXL345测量落体运动时,当初速度为0自由落体时,传感器能够正常检测到。但是当初速度不为0或者旋转时再扔出去,传感器ADXL345就无法检测到落体运动,请教如何解释这一现象?如何解决?非常感谢,困扰我很长时间
    发表于 12-29 06:45

    华为安全大咖谈 | 华为终端检测与响应EDR 第06期:斩杀幽灵-高级威胁之三十六计

    这些文章能帮助您更好地了解新品利器。本期是2023年EDR期刊的收官之作,我们将带您深入了解高级威胁的常用伎俩,以及华为终端检测与响应EDR的应对方案。 高级威胁近年趋势 近年来,无文件攻击
    的头像 发表于 11-18 15:50 397次阅读

    esp32指示灯不亮,PC也无法检测到该怎么办呢?

    esp32这个板子 指示灯不亮,PC也无法检测到该怎么办呢?
    发表于 11-02 06:40

    华为安全大咖谈 | 华为终端检测与响应EDR 第05期:挖矿木马防御新视角:从攻击检测到深度处置

    。 在本文中,我们将介绍几种不同类型的检测引擎如何通过EDR应对当下更加复杂的挖矿木马攻击,包括基于加密通信的挖矿行为,采用进程注入等更加隐蔽和高级的无文件攻击技术来规避
    的头像 发表于 10-24 16:05 588次阅读
    华为安全大咖谈 | 华为终端<b class='flag-5'>检测</b>与响应<b class='flag-5'>EDR</b> 第05期:挖矿木马防御新视角:从<b class='flag-5'>攻击</b>链<b class='flag-5'>检测到</b>深度处置

    M2351常见的故障注入攻击方式及原理

    摘要 (Abstract) 微控制器产品在设计之初,就会设定相应的产品规格以规范产品的执行条件,确保产品可以完成默认的任务。然而,若执行条件可不完全依照产品规格的情况下,就有可能会让系统无法如预期
    发表于 08-25 08:23

    GPU发起的Rowhammer攻击常见问题

    以下信息提供了有关GPU发起的“Rowhammer”攻击的一些常见问题的答案。 你能用外行的话解释这个问题吗? 安全研究人员已经证明了GPU通过WebGL程序发起的微体系结构攻击,使他们能够构建指向
    发表于 08-25 06:41

    学习体系结构-针对复杂软件的常见攻击形式堆栈

    本指南介绍了一些针对复杂软件的常见攻击形式堆栈。该指南还检查了功能,包括指针身份验证,分支目标Armv8-A中提供了识别和内存标记,以帮助缓解这种情况攻击。本指南是对这些特性的概述,而不是技术上
    发表于 08-02 07:50

    HUSBH_USBH_MassStorage无法检测到USB设备怎么修改?

    各位大神,我想利用该例程,实现读取U盘的功能。但是,我们的USB接口仅接了电源、地、 USB_D+,USB_D-。例程跑不起来,应该是无法检测到USB设备,导致fatfs无法挂载导致的。 请问,是否需要微调UsbHostLib库
    发表于 06-13 09:03

    自动移动目标防御|为什么EDR不足以防止勒索软件|虹科分享

    企业和中小企业,因为有吸引力的报酬与努力的比率。端点检测和响应(EDR)和扩展检测和响应(XDR)使用基于签名和行为的检测方法来有效防御已知攻击
    的头像 发表于 05-31 09:34 443次阅读
    自动移动目标防御|为什么<b class='flag-5'>EDR</b>不足以防止勒索软件|虹科分享

    中国目前最先进的***是哪个?

    中国目前最先进的国产芯片是哪个呢?
    的头像 发表于 05-29 09:44 1.8w次阅读

    虹科分享|无文件恶意软件将击败您的EDR|终端入侵防御

    无文件恶意软件攻击大多无法检测到。它们经过精心设计,可以绕过NGAV、EPP和EDR/XDR/MDR等检测和响应网络安全工具。 随着无文件恶
    的头像 发表于 04-18 10:23 348次阅读
    虹科分享|无文件恶意软件将击败您的<b class='flag-5'>EDR</b>|终端入侵防御