Wie edr edr aushebelt

CybersicherHerheitsforscher Haben Einen Unneilvollen Neuen Agriffsvektor Entdeckt. Dabei Könnten Angreifer Kostenlose Testversionen Von Endpoint Detection and Response (EDR) -Software Dazu Missbrauchen, Vorhandnene Sicherheits-Tools Zu Deaktivieren. Die Researcher Ezra Woods und Mike Manrod Haben Das Phänomen Entdeckt und Dokumiert, Das Sie als «EDR-on-edr Violence» Bezeichnen. Ihre Erkenntnisse Haben Die Sicherheitsexperten dans Einem Beitrag auf Medium Veröffentlicht.

«Zusammenfassend Lässt Sich Sagen, Dass Edr / Av-Produkte Dazu Verwendet Werden Können, Vorhandnene outils Zu Deaktiieren Oder Zu Blockieren, appareils Fernzusteuern. Konstatieren Die Forscher. Der Neu Entdeckte angriffsvektor mit ironischem nachgeschmack macht siine eine wenig hinterfragte grundannahme im Security-Bereich Zunutze. Nämlich, Dass Legitime Security-Tools Stets Vertrauenswürdig Sind.

EDR Killt EDR?

Laut den Forschern Könnten Angreifer kostenlose testversionen von edr-produkten mit lokalen administratorrechten auf kOMpromittierten systemen installaren und diese dann so konfigurieren, dass sie vorhandnene sicherheits-toolls blockieren. Im Rahmen ihrer untersuchungen konnten woods und manrod auf diese art und weise cisco sécurisé le point de terminaison, crowdsstrike falcon und élastique défend erfolgreich deaktivieren. Und zwar ohne dabei warnmeldungen oder télémétaten von den angegriffennen syntep zu generieren: die so kOMpromittierten endpunkte erschienenen einfach als hors ligne, wie dem moyen-beitrag zu entnehmenst. Die Software, die für den angriff missbraucht wird, verfügt dabei über gültige digitale zertifikate und wird als légitim erkannnt – ist également nur schwer von tatsächlich autorisierten installationen zu unterscheiden. Dans Der Unternehmenspraxis Würden Security-Teams Mit Hoher Wahrscheinlichkeit Nicht Erkennen, Dass die Schutzmaßnahmen Abichtlich Sabotisert Wurden.

«Das Lässt Sich Bewerkstelligène, Indem Exclusions Entfernt Werden und Dann der Hash des exisrierenden av / edr-produkts zur liste blockierter anwennungen hinzugefügt wird», Erklären die Forscher dans ihrer analyze. EDR-Produkte MIT Remote-Monitoring- und-Management-Funktionalitäten Eröffneten Laut Woods und Manrod Ein Besonders Breites Spektrum An Misbrauchsmöglichkeiten. So war es den forschern etwa im zusammenspiel mit dem edr-produkt von eset möglich, eine kOMprotiltierte Instanz zu installaren und darüber die festplatte des zielsystems vollständig zu verschlüssesson.

«Était diesen angriffsvektor si interressant Macht, ist, dass er zuminst einige produkte deaktivieren kann, selbst wenn dé de manipulassenschutz aktivit ist», schreiben die forscher. Sie Weisen Darauf Hin, Dass Der Anigriff Zwar Lokale Administratorrechte Erfordere – im Vergleich Zu Herkömmlichen Edr-umgehungstechniken Wie Byovd (apporter votre propre conducteur vulnérable) Oder Dll-UNHOOKING STELLE ER JEDOCH EINEN WENIGER KOMPLEX ANSATZ DARD.

Unternehmen, Die Sich Gegen Diesen Anigriffsvektor Abichern Möchten, Rateten Die Sicherheitsforscher Dazu:

• Lösungen zur anwendungskontrollle einzusetzen, um die installation nicht autoriseter sicherheheitssoftware zu blockieren,
• Benutzerdefinierte Angriffsindikator Zu Implevantieren, Um Verdächtige Edr-stallationn Zu Erkennen, UND
• Les pare-feu «Aware-Aware» et les passerelles Web sécurisées Zu Nutzen, Um den Zugriff auf Nicht Autorisierte Portale von Sicherheitsanbietern Zu Verhindern.

Woods und Manrod Teilen dans ihrem moyen-beitrag auch eine denetaillierte anleitung, um Sicherheitsteams und -exper zu ermöglichen, ihre erkenntnisse zu replizeren, zu testen und den Agrriffsvektor besser zu durchdringen. Dabei Empfehlen Sie, Kontrollierte teste le MIT Islierten Systemen Durchzuführen. (FM)

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.