XDR（擴(kuò)展威脅檢測(cè)和響應(yīng)）解決方案在幫助企業(yè)識(shí)別和減輕網(wǎng)絡(luò)攻擊威脅方面發(fā)揮了重要作用。然而一直以來(lái)，針對(duì)惡意軟件的檢測(cè)與繞過(guò)都是一場(chǎng)防守者和攻擊者之間的軍備競(jìng)賽，不斷有新的技術(shù)被應(yīng)用到博弈之中。研究人員發(fā)現(xiàn)，目前的攻擊者正在大量使用檢測(cè)規(guī)避、漏洞利用和禁用監(jiān)控等方式來(lái)繞過(guò)XDR工具，以實(shí)施惡意攻擊。

為了更好地理解攻擊者如何規(guī)避XDR系統(tǒng)，本文深入分析了XDR系統(tǒng)運(yùn)營(yíng)的三個(gè)關(guān)鍵時(shí)期：數(shù)據(jù)采集、檢測(cè)分析和響應(yīng)處置，并對(duì)其中容易發(fā)生的檢測(cè)規(guī)避情況提出防護(hù)建議和策略。

數(shù)據(jù)采集階段的檢測(cè)規(guī)避

XDR需要利用數(shù)據(jù)和傳感器來(lái)提供全面且豐富的威脅檢測(cè)能力。通過(guò)利用日志源、威脅情報(bào)、端點(diǎn)數(shù)據(jù)和其他傳感器數(shù)據(jù)，XDR可以將這些遙測(cè)數(shù)據(jù)創(chuàng)建為一致的安全警報(bào)。XDR的安全可見能力也稱之為XDR的遙測(cè)能力，是XDR系統(tǒng)最重要的基礎(chǔ)能力。然而，XDR只能檢測(cè)系統(tǒng)可以收集到的威脅內(nèi)容，因此，當(dāng)XDR未接收到檢測(cè)惡意行為所需的數(shù)據(jù)信息時(shí)，就會(huì)產(chǎn)生檢測(cè)措施被規(guī)避的情況。

具體來(lái)說(shuō)，這個(gè)階段的檢測(cè)規(guī)避行為包括以下幾種情況：

1、攻擊者的行為沒有產(chǎn)生“相關(guān)”的遙測(cè)數(shù)據(jù)?！跋嚓P(guān)”是指系統(tǒng)上的每個(gè)操作都會(huì)產(chǎn)生一定數(shù)量的遙測(cè)數(shù)據(jù)，但這些事件可能對(duì)創(chuàng)建良好的檢測(cè)沒有意義。因此，可以將其視為系統(tǒng)中缺失的事件源，而不是XDR的缺陷。

2、系統(tǒng)產(chǎn)生了遙測(cè)信息但未被XDR接收。XDR可以訂閱成千上萬(wàn)的事件源，供應(yīng)商的任務(wù)是決定需要哪些事件源來(lái)滿足他們的檢測(cè)需求。例如，如果XDR供應(yīng)商對(duì)檢測(cè)與活動(dòng)目錄（AD）相關(guān)的行為特別感興趣，他們就會(huì)優(yōu)先從AD而非網(wǎng)絡(luò)流量中收集事件。未收集某些類型的事件（無(wú)論是出于選擇還是出于疏忽），會(huì)導(dǎo)致XDR的檢測(cè)覆蓋面出現(xiàn)可利用的缺口。

3、攻擊者可能會(huì)主動(dòng)干擾XDR代理，這樣事件就不會(huì)發(fā)送到負(fù)責(zé)收集和關(guān)聯(lián)的集中式服務(wù)器。這種干擾同樣有多種形式，包括停止或卸載代理，阻止其與服務(wù)器的通信（例如，通過(guò)基于主機(jī)的防火墻修改），或篡改傳感器（例如，禁用AMSI）。

檢測(cè)分析階段的檢測(cè)規(guī)避

在檢測(cè)分析階段，攻擊者規(guī)避XDR檢測(cè)的首選方法就是破壞其中的檢測(cè)邏輯。檢測(cè)本身只是評(píng)估一個(gè)事件或一組事件的方法，以確定是否存在可能指示惡意行為的某些條件。這些檢測(cè)查詢的規(guī)則可以是精確的（precise），這意味著它們針對(duì)的特定屬性通常是惡意軟件或攻擊性工具（例如Mimikatz的命令行參數(shù)）的唯一屬性；也可以是魯棒/健壯的（robust），這意味著它們針對(duì)的是多個(gè)惡意軟件樣本或工具共享的行為。

無(wú)論哪種檢測(cè)類型都會(huì)有不足。“精確檢測(cè)”很容易被規(guī)避，因?yàn)樗鼈兺^(guò)于具體，這意味著對(duì)目標(biāo)樣本的任何修改都會(huì)導(dǎo)致誤報(bào)。例如，攻擊者將Mimikatz的參數(shù)字符串從“sekurlsa::logonpasswords”修改成“nothings::happening_here”，就能輕松破壞檢測(cè)邏輯。

“魯棒檢測(cè)”雖看上去不太容易被規(guī)避，但卻存在極大的誤報(bào)性，導(dǎo)致規(guī)則中的排除項(xiàng)被攻擊者濫用。例如，將Chrome更新進(jìn)程“GoogleUpdate.exe”排除在憑據(jù)轉(zhuǎn)儲(chǔ)檢測(cè)之外，允許攻擊者偽裝成更新助手或注入其中，以在不被檢測(cè)的情況下提取憑據(jù)。

響應(yīng)處置階段的檢測(cè)規(guī)避

網(wǎng)絡(luò)威脅響應(yīng)處置的過(guò)程因組織而異，但通常都包括分類、調(diào)查和響應(yīng)階段。這個(gè)過(guò)程的復(fù)雜性催生了許多不同的故障點(diǎn)。

第一類規(guī)避通常發(fā)生在“分類階段”。在此階段，1級(jí)分析人員接收到警報(bào)并錯(cuò)誤地將其標(biāo)記為假陽(yáng)性。這將導(dǎo)致盡管XDR正在執(zhí)行其工作，但該行為仍未被注意到。這種失敗可能源于警報(bào)疲勞，或者缺乏對(duì)檢測(cè)目的和信息含義的理解。

有效警報(bào)發(fā)出后就會(huì)正式進(jìn)入“調(diào)查階段”，以更具體地確定警報(bào)是否值得升級(jí)為全面事件。該過(guò)程通常是手動(dòng)的，需要技能嫻熟的分析人員查詢有問題的系統(tǒng)并提取支持信息。由此會(huì)產(chǎn)生許多與調(diào)查人員和攻擊者技能相關(guān)的故障點(diǎn)。例如，如果分析人員需要檢查磁盤上的文件，但攻擊者已經(jīng)先發(fā)制人地刪除了該文件，會(huì)發(fā)生什么情況？如果需要內(nèi)存取證，但攻擊者已經(jīng)重啟了系統(tǒng)怎么辦？解決這些故障點(diǎn)需要強(qiáng)有力的支持文檔，例如在疑似陽(yáng)性警報(bào)事件中應(yīng)該收集什么以及該信息的含義。

最后，在警報(bào)被確認(rèn)為真正的有效事件并宣布發(fā)生事件之后，便正式進(jìn)入“響應(yīng)階段”，并涉及驅(qū)逐威脅行為者。在此階段面臨的最大錯(cuò)誤是，防御團(tuán)隊(duì)錯(cuò)誤地判斷事件的范圍，導(dǎo)致不完全驅(qū)逐，并允許攻擊者在環(huán)境中持續(xù)存在很長(zhǎng)時(shí)間。

防范XDR檢測(cè)規(guī)避的4點(diǎn)建議

針對(duì)以上安全防護(hù)挑戰(zhàn)，增強(qiáng)XDR系統(tǒng)的應(yīng)用可靠性，研究人員給企業(yè)組織提出以下可參考建議：

1、積極利用威脅情報(bào)

研究發(fā)現(xiàn)，整合最新的威脅內(nèi)容和情報(bào)將使得EDR/XDR系統(tǒng)變得更加可靠。企業(yè)組織應(yīng)該積極利用威脅情報(bào)內(nèi)容，并定期分析新興趨勢(shì)，及時(shí)了解不斷變化的威脅態(tài)勢(shì)。這有助于主動(dòng)識(shí)別新的惡意軟件變體和攻擊手法，確保及時(shí)檢測(cè)發(fā)現(xiàn)和響應(yīng)。此外，加強(qiáng)與針對(duì)特定行業(yè)的信息共享平臺(tái)合作，可以為企業(yè)提供更有效的信息，有助于了解最新的攻擊技術(shù)和攻陷指標(biāo)。

2、構(gòu)建縱深防御體系

由于EDR/XDR檢測(cè)繞過(guò)難以避免，因此企業(yè)需要協(xié)同其他安全工具來(lái)防止未授權(quán)訪問。在網(wǎng)絡(luò)安全領(lǐng)域中，縱深防御代表著一種更加系統(tǒng)、積極的防護(hù)戰(zhàn)略，它要求合理利用各種安全技術(shù)的能力和特點(diǎn)，構(gòu)建形成多方式、多層次、功能互補(bǔ)的安全防護(hù)能力體系，以滿足企業(yè)安全工作中對(duì)縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一，包括了部署網(wǎng)絡(luò)分段、防火墻規(guī)則、入侵防御系統(tǒng)和反惡意軟件解決方案。

3、完善事件響應(yīng)計(jì)劃

對(duì)于現(xiàn)代企業(yè)組織來(lái)說(shuō)，必須時(shí)刻準(zhǔn)備好應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)安全事件。在嚴(yán)重安全事件發(fā)生時(shí)，需要能夠第一時(shí)間制定應(yīng)急處置方案，充分調(diào)動(dòng)內(nèi)外部團(tuán)隊(duì)資源，并讓所有成員明確自己的任務(wù)。因此，提前制定專門針對(duì)網(wǎng)絡(luò)威脅事件的全面事件響應(yīng)計(jì)劃至關(guān)重要。這包括用于隔離受感染系統(tǒng)、遏制傳播以及從安全備份恢復(fù)關(guān)鍵數(shù)據(jù)的預(yù)定義步驟。企業(yè)還應(yīng)該主動(dòng)測(cè)試響應(yīng)計(jì)劃的有效性，通過(guò)反復(fù)的練習(xí)，不斷優(yōu)化改進(jìn)安全事件響應(yīng)計(jì)劃。

4、增強(qiáng)網(wǎng)絡(luò)安全彈性

不斷發(fā)生的勒索攻擊和供應(yīng)鏈攻擊都證明了，在網(wǎng)絡(luò)安全世界中，彈性比以往任何時(shí)候更加重要。雖然部署EDR/XDR等防御能力仍然不可或缺，但這還遠(yuǎn)遠(yuǎn)不夠。面對(duì)當(dāng)今包羅萬(wàn)象、不斷演變的威脅場(chǎng)景，需要將網(wǎng)絡(luò)風(fēng)險(xiǎn)防護(hù)策略深入到整個(gè)組織，同時(shí)還要提升敏捷性。要想增強(qiáng)網(wǎng)絡(luò)安全彈性，不僅僅是網(wǎng)絡(luò)安全團(tuán)隊(duì)的事情，而是關(guān)乎整個(gè)企業(yè)的事情。要實(shí)現(xiàn)這一目標(biāo)，就需要整個(gè)組織的網(wǎng)絡(luò)安全知識(shí)、技能和意識(shí)得到持續(xù)提升。

原文鏈接：https://www.csoonline.com/article/3476179/how-your-xdr-is-evaded.html