Palo Alto Networks’ün genişletilmiş algılama ve yanıt (XDR) yazılımının yaratıcı bir şekilde kullanılması, saldırganların onu kötü amaçlı bir çok amaçlı araç gibi kuklalamasına olanak tanıyabilirdi.
İçinde Bu hafta Black Hat Asia’da bir brifingSafeBreach güvenlik araştırmacısı Shmuel Cohen, şirketin imzası olan Cortex ürününe nasıl tersine mühendislik yapıp sızmakla kalmayıp aynı zamanda onu ters kabuk ve fidye yazılımı dağıtmak için silah haline getirdiğini anlattı.
Onun başarısıyla ilgili zayıflıklardan biri hariç tümü o zamandan beri Palo Alto tarafından onarıldı. Diğer benzer XDR çözümlerinin benzer bir saldırıya karşı savunmasız olup olmadığı henüz belli değil.
Siber Güvenlikte Şeytanın Pazarlığı
Bazı geniş kapsamlı güvenlik araçlarının kullanılması söz konusu olduğunda kaçınılmaz bir şeytan pazarlığı söz konusudur. Bu platformların işlerini yapabilmeleri için, sistemdeki her köşe bucakta son derece ayrıcalıklı sınırsız erişime sahip olmaları gerekiyor.
Örneğin gerçekleştirmek için gerçek zamanlı izleme ve tehdit tespiti XDR, BT ekosistemleri genelinde mümkün olan en yüksek izinleri ve çok hassas bilgilere erişimi talep eder. Ve önyükleme yapmak için kolayca kaldırılamaz. Cohen’e çarpık bir fikre ilham veren şey, bu programların kullandığı muazzam güçtü.
“Kendi kendime düşündüm: Bir EDR çözümünün kendisini kötü amaçlı yazılıma dönüştürmek mümkün olabilir mi?” Cohen, Dark Reading’e anlatıyor. “XDR’nin sahip olduğu tüm bu şeyleri alıp kullanıcıya karşı kullanırdım.”
Bir laboratuvar konusu olan Cortex’i seçtikten sonra, neyin kötü niyetli olup olmadığını nasıl tanımladığını anlamaya çalışarak onun çeşitli bileşenlerine tersine mühendislik yapmaya başladı.
Programın çoğu kişiden daha fazla güvendiği bir dizi düz metin dosyası keşfettiğinde bir ampul yandı.
XDR Evil’i Nasıl Dönüştürürüz?
Cohen, “Ama bu kurallar bilgisayarımın içinde” diye düşündü. “Bunları manuel olarak kaldırırsam ne olur?”
Palo Alto’nun bunu zaten düşündüğü ortaya çıktı. Kurcalamaya karşı koruma mekanizması, herhangi bir kullanıcının bu değerli Lua dosyalarına dokunmasını engelledi; ancak mekanizmanın Aşil topuğu vardı. Her bir Lua dosyasını ismine göre değil, hepsini kapsayan klasörü koruyarak çalıştı. Bu durumda, istediği dosyalara ulaşmak için, onlara ulaşmak için kullanılan yolu yeniden yönlendirebilseydi ve mekanizmayı tamamen atlayabilseydi, kurcalamayı önleme mekanizmasını geri almasına gerek kalmayacaktı.
Basit bir kısayol muhtemelen yeterli olmayacaktı, bu yüzden sabit bir bağlantı kullandı: bilgisayarın bir dosya adını sabit sürücüde depolanan gerçek verilere bağlama yöntemi. Bu, kendi yeni dosyasını sürücüde Lua dosyalarıyla aynı konuma yönlendirmesine olanak tanıdı.
“Program, bu dosyanın sabit diskte orijinal Lua dosyasıyla aynı konuma işaret ettiğinin farkında değildi ve bu, orijinal içerik dosyasını düzenlememe olanak sağladı” diye açıklıyor. “Dolayısıyla dosyalara sabit bir bağlantı oluşturdum, bazı kuralları düzenledim ve kaldırdım. Ve bunları kaldırdığımda ve uygulamanın yeni kurallar yüklemesine neden olan başka bir küçük şey yaptığımda, savunmasız bir sürücüyü yükleyebildiğimi gördüm. Ve oradan , tüm bilgisayar benimdi.”
Cohen, konsept kanıtı saldırısında tüm kontrolü ele geçirdikten sonra şunu hatırlıyor: “İlk yaptığım şey, kaldırılamayacak şekilde XDR’deki koruma şifresini değiştirmekti. Ayrıca sunucularıyla olan her türlü iletişimi de engelledim.”
Bu arada, “Her şey çalışıyor gibi görünüyor. Kötü niyetli etkinlikleri kullanıcıdan gizleyebilirim. Engellenmesi gereken bir eylem için bile XDR bir bildirim sağlamayacaktır. Uç nokta kullanıcısı, her şeyi belirten yeşil işaretleri görecektir. sorun yok, altta kötü amaçlı yazılımımı çalıştırırken.”
Çalıştırmaya karar verdiği kötü amaçlı yazılım, öncelikle hedeflenen makine üzerinde tam kontrol sağlayan bir ters kabuktu. Daha sonra programın burnunun dibinde fidye yazılımını başarıyla dağıttı.
Palo Alto’nun başaramadığı düzeltme
Palo Alto Networks, Cohen’in araştırmasını olumlu karşıladı ve istismarı anlamak ve düzeltmeler geliştirmek için onunla yakın işbirliği içinde çalıştı.
Ancak saldırı zincirinde bir güvenlik açığı vardı ve bu güvenlik açığını olduğu gibi bırakmayı seçtiler: Cortex’in Lua dosyalarının son derece hassas yapılarına rağmen hiçbir şifreleme olmadan tamamen düz metin olarak saklanması.
Bu endişe verici görünüyor, ancak gerçek şu ki şifreleme saldırganlar için pek caydırıcı olmayacaktır, bu nedenle konuyu tartıştıktan sonra kendisi ve güvenlik şirketi bunu değiştirmeye gerek olmadığı konusunda anlaştılar. Kendisinin belirttiği gibi, “XDR’nin eninde sonunda ne yapacağını anlaması gerekiyor. Yani şifrelenmiş olsa bile, operasyonunun bir noktasında bu dosyaları okuyabilmek için şifreyi çözmesi gerekecek. Böylece saldırganlar sadece dosyaların içeriğini yakalayabilir.” o zaman bu dosyaları okumak benim için bir adım daha demek olurdu ama yine de okuyabiliyorum.”
Ayrıca diğer XDR platformlarının da muhtemelen aynı tür saldırılara açık olduğunu söylüyor.
“Belki diğer XDR’ler bunu farklı şekilde uygulayacaktır” diyor. “Belki dosyalar şifrelenir. Ama ne yaparlarsa yapsınlar, her zaman onu atlayabilirim.”