Riflessioni e commenti da parte del nostro cyber security specialist Simone Fratus in merito all'analisi pubblicata il 30 agosto 2022 presente nell'articolo "Organizations are spending billions on malware defense that’s easy to bypass"
Direi che il titolo è già sufficientemente eloquente e non fa altro che rimarcare un mio messaggio personale che da tempo condivido con partner e clienti. Attenzione che il sotto titolo indica: "Two of the simplest forms of evasion are surprisingly effective against EDRs." Attenzione che il terzo metodo è in arrivo e che alcuni codici malevoli lo stanno utilizzando, anche se è noto da quasi 1 anno.
Iniziamo con l'analisi di alcuni punti di questo testo:
"EDRs—which are forecasted to generate revenue of $18 billion by 2031 and are sold by dozens of security companies—take an entirely different approach. Rather than analyze the structure or execution of the code ahead of time, EDRs monitor the code's behavior as it runs inside a machine or network. In theory, it can shut down a ransomware attack in progress by detecting that a process executed on hundreds of machines in the past 15 minutes is encrypting files en masse. Unlike static and dynamic analyses, EDR is akin to a security guard that uses machine learning to keep tabs in real time on the activities inside a machine or network."
Come indicato in altri miei documenti e durante le mie riunioni una soluzione EDR è utile per bloccare un attacco in atto, cioè quando è già nella fase della cifratura. Ma il business dei Ransomware as a Service oggi non è solamente basato sulla richiesta di un riscatto per ottenere la chiave di decrittazione, ma anche sulla non pubblicazione dei dati. Altra nota, interviene mediamente dopo 15 minuti che la cifratura è già in atto.
Nell'immagine seguente si evince che l'EDR monitora delle particolari DLL di sistema Microsoft per capire cosa sta succedendo. Ma come abbiamo visto in un mio precedente articolo una volta mappate le DLL usate dal vendor ed utilizzando tecniche di Hooking questo viene facilmente disabilitato perché sta lavorando in UserMode, dove non è in grado di proteggersi da questa tecnica.
"Despite the buzz surrounding EDRs, new research suggests that the protection they provide isn't all that hard for skilled malware developers to circumvent. In fact, the researchers behind the study estimate EDR evasion adds only one additional week of development time to the typical infection of a large organizational network. That's because two fairly basic bypass techniques, particularly when combined, appear to work on most EDRs available in the industry."
Opsss, una nuova ricerca suggerisce che la protezione che forniscono non è poi così difficile da aggirare per gli sviluppatori di malware esperti. Lo studio stima che l'evasione EDR aggiunga solo una settimana aggiuntiva di tempo di sviluppo all'infezione tipica di una grande rete organizzativa. Questo perché due tecniche di bypass abbastanza basilari, in particolare se combinate, sembrano funzionare sulla maggior parte degli EDR disponibili nel settore.
"The techniques take aim at the hooks the EDRs use. The first method goes around the hook function and instead makes direct kernel system calls. While successful against all three EDRs tested, this hook avoidance has the potential to arouse the suspicion of some EDRs, so it's not foolproof."
Aggiungerei anche che attualmente sono disponibili su GitHub una grande quantità di sample già perfettamente funzionanti e sono di dominio pubblico, in clear web.
"The second technique, when implemented in a dynamic link library file, also worked against all three EDRs."
Anche questa è una tecnica oramai nota perché utilizzata già in precedenza. Diciamo che la tecnica prima spiegata, quella del Hooking, è diventata palese e nota dopo l'esfiltrazione del codice Conti e di tutte le emulazioni che sono state fate. Ambedue perfettamente funzionanti da come viene spiegato nell'articolo.
L'articolo chiude con una frase emblematica: ""Nel complesso, gli EDR stanno aggiungendo circa il 12 percento o una settimana di sforzi di hacking quando compromettono una grande azienda, a giudicare dal tipico tempo di esecuzione di un esercizio di RedTeam". Nell'articolo si fa anche menzione che i test sono stati fatti su tre importanti soluzioni di protezione degli end point molto note e molto utilizzate anche sul mercato italiano come punto di riferimento. Non le cito ma le troverete nell'articolo. Sempre nell'articolo si indica che comunque le medesime tecniche argomentate sono funzionanti su gran parte delle soluzione di protezione attualmente presenti sul mercato.
Quindi il messaggio che chiamo "falsa percezione di cybersecurity" penso che trovi corrispondenza?
Lascio a voi la lettura dell'articolo, dell'analisi fatta che è stata presentata al meeting Hack in the Box security conference in Singapore
Comments