近日，安全研究員Shmuel Cohen在Black Hat Asia大會上展示了如何用逆向工程破解Palo Alto Networks的Cortex XDR安全軟件，并將其轉換為隱蔽持久的“超級惡意工具“，用于部署后門程序和勒索軟件。這一發現凸顯了EDR/XDR等強大安全工具的潛在風險，也為網絡安全防御敲響了警鐘。

XDR（Extended Detection and Response）是一種集成了威脅檢測、調查和響應功能的安全解決方案，能夠為企業提供全面的安全防護。然而，強大的功能也伴隨著潛在的風險。Shmuel Cohen的研究表明，EDR/XDR本身也可能成為攻擊者的目標，被用來實施惡意攻擊。

Cohen通過逆向工程和分析Cortex XDR軟件，發現了一些可以被利用的漏洞。他利用這些漏洞，成功地繞過了Cortex XDR的安全機制（包括機器學習檢測模塊、行為模塊規避、實時預防規則以及防止文件篡改的過濾驅動程序保護）。

具體來說，Cohen做到以下幾件事：

• 修改了XDR的安全規則，使其無法檢測到他的惡意活動。
• 部署了后門程序，使他能遠程控制受感染的計算機。
• 植入了勒索軟件，向受害者索取贖金。
• 敏感用戶賬號泄露
• 在系統中長期駐留（無法從管理界面遠程刪除）
• 整機加密（FUD）
• 完整的LSASS內存轉儲
• 隱藏惡意活動通知
• 繞過XDR管理員密碼
• 全面利用XDR實施攻擊

Cohen指出，雖然Palo Alto Networks與其合作修復了漏洞并發布補丁程序，但其他XDR平臺也很可能存在類似的漏洞，容易受到攻擊。

Cohen的攻擊證明，即使是像Palo Alto Cortex XDR這樣的知名安全軟件也并非絕對安全。

安全專家指出，用戶部署使用功能強大的安全工具時，不可避免地存在“魔鬼交易“：為了讓這些安全工具完成工作，必須授予它們高級權限來訪問系統中的每個角落。

例如，為了跨IT系統執行實時監控和威脅檢測，XDR需要盡可能高的權限，訪問非常敏感的信息，而且啟動時不能被輕易刪除。

這意味著一旦攻擊者能夠利用安全軟件的漏洞，就可將其變成殺傷力極大的攻擊武器。因此，企業在部署EDR/XDR等安全解決方案時，需要提高警惕，加強安全管理，并定期進行安全評估和漏洞修復。