原创 ThreatBook 微步在线 2024年11月07日 08:28 北京
“All in One”部署还是异构部署? 使用终端安全软件时,总是面临这样的选择。 不过,投资界有一句名言: “不要将鸡蛋放在同一个篮子里。 ”
类似的,在能力“All in One”的同时,也意味着风险“All in One”。相比之下,将杀毒软件与EDR异构部署,不仅可以分摊失陷的风险,还可以覆盖更多的恶意样本和攻击行为。
杀毒软件“中毒”了
前不久,微步终端安全管理平台 OneSEC 捕获到了一起恶意文件投递事件。
告警信息显示,该恶意文件执行了一系列恶意行为:包括探测机器信息、创建其他恶意文件、搜集浏览器访问凭据并打包回传等。但有趣的是:
-
恶意文件是由杀毒软件创建并执行的,就像是杀毒软件感染了病毒一样,甚至一度怀疑是误报;
-
在检测到恶意文件活动前,杀毒软件管理员账户出现异常登录并上传了恶意文件,但排查发现此次登录用户并非管理员本人。
综合上述两点判断,有外部攻击者冒用了杀毒软件管理员账户,并利用软件分发功能投递恶意文件。
杀毒软件失陷有着更大的危害
事实上,杀毒软件失陷的案例并不多见。 与之相比,钓鱼才是更为直接和普遍使用的投毒方式。
不过,一旦杀毒软件失陷,危害程度也会更大。
其一,与域控等其他集权系统类似,杀毒软件拥有较高的管控权限,攻击者可以同时向同一网段内所有终端分发恶意软件,而不用一台台横移;
其二,攻击者可以利用管理员权限设置白名单或者白路径进行投毒,从根本上无视杀毒软件的查杀能力,这就相当于釜底抽薪。
微步终端安全检测团队判断,随着用户安全意识增强,攻击者除了使用更加精细化的钓鱼攻击方式,借助杀毒软件投毒也不失为一个新的选择。
EDR是终端***威胁对抗的核心
于是一个新问题就产生了: 杀毒软件自身应该怎么防范被攻击者利用?
从此次杀毒软件投毒事件可以看出,加强提高安全意识、收敛攻击面的的重要性,包括保护登录凭据、设置多因素认证、限制管理员账户权限等,这是降低失陷概率的关键举措。
在此基础上,基于EDR的终端***威胁对抗能力至关重要 。当攻击者利用杀毒软件投毒时,大概率会使用具备免杀能力的恶意文件,EDR可以***时间检出杀毒软件无法发现的恶意行为。
以本次事件中的恶意样本为例。
样本会通过API将内存属性从RW修改为RX属性,避免触发安全软件内存检查。
截至目前,VT平台多引擎检出率(6/75)也并不高。即便攻击者没有加白或者失陷的是其他集权系统,杀毒软件也大概率不会产生告警。
相比之下,OneSEC EDR检测到了多个恶意行为,并且通过关联分析定位到了事件的执行源头——杀毒软件,进而帮助安全运营人员发现了本次杀毒软件失陷事件。
从杀毒软件出现异常登录,到完成初步的事件调查,仅耗时不到两个小时。
异构EDR是更加安全的选择
需要注意的是,即便是集成了杀毒、桌管、EDR等多项能力的“All in One”终端安全软件,也并不能很好地解决杀毒软件失陷难题。投资界有一句规避风险的至理名言:不要将鸡蛋放在同一个篮子里。与之类似,能力“All in One”的同时,也意味着风险“All in One”。
***,同构的安全软件往往具备相似的架构和基础组件,很有可能会受同一安全风险影响 ,例如默认弱口令、身份验证绕过、源代码漏洞等,容易被同样的方式全部击穿。
第二,“All in One”软件一旦失陷,就意味着终端安***力全部被攻击者接管 ,不会对自己加白的文件产生告警,就像医者不能自医一样。相比之下,多个异构安全软件同时失陷的可能性要低得多,相互之间能起到一定的相互制衡的作用。
第三,除了在应对自身失陷风险之外,同构的杀毒软件和EDR还有着相同的检测能力局限 ,这主要是由恶意样本和行为的积累决定的。
众所周知,杀毒软件的查杀能力主要取决于病毒库积累的签名数量,尽管EDR检测并不依赖特定的文件签名,但样本的积累却能够帮助EDR覆盖更多的攻击行为,进而更新检测模型、检测规则。
对于同构的杀毒软件和EDR而言,当面对使用了特定未知恶意行为的恶意样本时,可能会同时出现漏报。
这就好比一个从未见过的人、做出了一系列从未见过的动作,无论是根据样貌特征还是行为特征,都很难判定这个人到底是好是坏。而异构的EDR和杀毒软件,可以覆盖更多的样本和恶意行为。
随着终端对抗强度不断升级,EDR与杀毒软件的异构部署,无疑是一个更为安全的选择。
· END ·
