XDR（擴展威脅檢測和響應(yīng)）解決方案在幫助企業(yè)識別和減輕網(wǎng)絡(luò)攻擊威脅方面發(fā)揮了重要作用。然而一直以來，針對惡意軟件的檢測與繞過都是一場防守者和攻擊者之間的軍備競賽，不斷有新的技術(shù)被應(yīng)用到博弈之中。研究人員發(fā)現(xiàn)，目前的攻擊者正在大量使用檢測規(guī)避、漏洞利用和禁用監(jiān)控等方式來繞過XDR工具，以實施惡意攻擊。

為了更好地理解攻擊者如何規(guī)避XDR系統(tǒng)，本文深入分析了XDR系統(tǒng)運營的三個關(guān)鍵時期：數(shù)據(jù)采集、檢測分析和響應(yīng)處置，并對其中容易發(fā)生的檢測規(guī)避情況提出防護建議和策略。

數(shù)據(jù)采集階段的檢測規(guī)避

XDR需要利用數(shù)據(jù)和傳感器來提供全面且豐富的威脅檢測能力。通過利用日志源、威脅情報、端點數(shù)據(jù)和其他傳感器數(shù)據(jù)，XDR可以將這些遙測數(shù)據(jù)創(chuàng)建為一致的安全警報。XDR的安全可見能力也稱之為XDR的遙測能力，是XDR系統(tǒng)最重要的基礎(chǔ)能力。然而，XDR只能檢測系統(tǒng)可以收集到的威脅內(nèi)容，因此，當(dāng)XDR未接收到檢測惡意行為所需的數(shù)據(jù)信息時，就會產(chǎn)生檢測措施被規(guī)避的情況。

具體來說，這個階段的檢測規(guī)避行為包括以下幾種情況：

1、攻擊者的行為沒有產(chǎn)生“相關(guān)”的遙測數(shù)據(jù)?！跋嚓P(guān)”是指系統(tǒng)上的每個操作都會產(chǎn)生一定數(shù)量的遙測數(shù)據(jù)，但這些事件可能對創(chuàng)建良好的檢測沒有意義。因此，可以將其視為系統(tǒng)中缺失的事件源，而不是XDR的缺陷。

2、系統(tǒng)產(chǎn)生了遙測信息但未被XDR接收。XDR可以訂閱成千上萬的事件源，供應(yīng)商的任務(wù)是決定需要哪些事件源來滿足他們的檢測需求。例如，如果XDR供應(yīng)商對檢測與活動目錄（AD）相關(guān)的行為特別感興趣，他們就會優(yōu)先從AD而非網(wǎng)絡(luò)流量中收集事件。未收集某些類型的事件（無論是出于選擇還是出于疏忽），會導(dǎo)致XDR的檢測覆蓋面出現(xiàn)可利用的缺口。

3、攻擊者可能會主動干擾XDR代理，這樣事件就不會發(fā)送到負(fù)責(zé)收集和關(guān)聯(lián)的集中式服務(wù)器。這種干擾同樣有多種形式，包括停止或卸載代理，阻止其與服務(wù)器的通信（例如，通過基于主機的防火墻修改），或篡改傳感器（例如，禁用AMSI）。

檢測分析階段的檢測規(guī)避

在檢測分析階段，攻擊者規(guī)避XDR檢測的首選方法就是破壞其中的檢測邏輯。檢測本身只是評估一個事件或一組事件的方法，以確定是否存在可能指示惡意行為的某些條件。這些檢測查詢的規(guī)則可以是精確的（precise），這意味著它們針對的特定屬性通常是惡意軟件或攻擊性工具（例如Mimikatz的命令行參數(shù)）的唯一屬性；也可以是魯棒/健壯的（robust），這意味著它們針對的是多個惡意軟件樣本或工具共享的行為。

無論哪種檢測類型都會有不足。“精確檢測”很容易被規(guī)避，因為它們往往過于具體，這意味著對目標(biāo)樣本的任何修改都會導(dǎo)致誤報。例如，攻擊者將Mimikatz的參數(shù)字符串從“sekurlsa::logonpasswords”修改成“nothings::happening_here”，就能輕松破壞檢測邏輯。

“魯棒檢測”雖看上去不太容易被規(guī)避，但卻存在極大的誤報性，導(dǎo)致規(guī)則中的排除項被攻擊者濫用。例如，將Chrome更新進程“GoogleUpdate.exe”排除在憑據(jù)轉(zhuǎn)儲檢測之外，允許攻擊者偽裝成更新助手或注入其中，以在不被檢測的情況下提取憑據(jù)。

響應(yīng)處置階段的檢測規(guī)避

網(wǎng)絡(luò)威脅響應(yīng)處置的過程因組織而異，但通常都包括分類、調(diào)查和響應(yīng)階段。這個過程的復(fù)雜性催生了許多不同的故障點。

第一類規(guī)避通常發(fā)生在“分類階段”。在此階段，1級分析人員接收到警報并錯誤地將其標(biāo)記為假陽性。這將導(dǎo)致盡管XDR正在執(zhí)行其工作，但該行為仍未被注意到。這種失敗可能源于警報疲勞，或者缺乏對檢測目的和信息含義的理解。

有效警報發(fā)出后就會正式進入“調(diào)查階段”，以更具體地確定警報是否值得升級為全面事件。該過程通常是手動的，需要技能嫻熟的分析人員查詢有問題的系統(tǒng)并提取支持信息。由此會產(chǎn)生許多與調(diào)查人員和攻擊者技能相關(guān)的故障點。例如，如果分析人員需要檢查磁盤上的文件，但攻擊者已經(jīng)先發(fā)制人地刪除了該文件，會發(fā)生什么情況？如果需要內(nèi)存取證，但攻擊者已經(jīng)重啟了系統(tǒng)怎么辦？解決這些故障點需要強有力的支持文檔，例如在疑似陽性警報事件中應(yīng)該收集什么以及該信息的含義。

最后，在警報被確認(rèn)為真正的有效事件并宣布發(fā)生事件之后，便正式進入“響應(yīng)階段”，并涉及驅(qū)逐威脅行為者。在此階段面臨的最大錯誤是，防御團隊錯誤地判斷事件的范圍，導(dǎo)致不完全驅(qū)逐，并允許攻擊者在環(huán)境中持續(xù)存在很長時間。

防范XDR檢測規(guī)避的4點建議

針對以上安全防護挑戰(zhàn)，增強XDR系統(tǒng)的應(yīng)用可靠性，研究人員給企業(yè)組織提出以下可參考建議：

1、積極利用威脅情報

研究發(fā)現(xiàn)，整合最新的威脅內(nèi)容和情報將使得EDR/XDR系統(tǒng)變得更加可靠。企業(yè)組織應(yīng)該積極利用威脅情報內(nèi)容，并定期分析新興趨勢，及時了解不斷變化的威脅態(tài)勢。這有助于主動識別新的惡意軟件變體和攻擊手法，確保及時檢測發(fā)現(xiàn)和響應(yīng)。此外，加強與針對特定行業(yè)的信息共享平臺合作，可以為企業(yè)提供更有效的信息，有助于了解最新的攻擊技術(shù)和攻陷指標(biāo)。

2、構(gòu)建縱深防御體系

由于EDR/XDR檢測繞過難以避免，因此企業(yè)需要協(xié)同其他安全工具來防止未授權(quán)訪問。在網(wǎng)絡(luò)安全領(lǐng)域中，縱深防御代表著一種更加系統(tǒng)、積極的防護戰(zhàn)略，它要求合理利用各種安全技術(shù)的能力和特點，構(gòu)建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業(yè)安全工作中對縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一，包括了部署網(wǎng)絡(luò)分段、防火墻規(guī)則、入侵防御系統(tǒng)和反惡意軟件解決方案。

3、完善事件響應(yīng)計劃

對于現(xiàn)代企業(yè)組織來說，必須時刻準(zhǔn)備好應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件。在嚴(yán)重安全事件發(fā)生時，需要能夠第一時間制定應(yīng)急處置方案，充分調(diào)動內(nèi)外部團隊資源，并讓所有成員明確自己的任務(wù)。因此，提前制定專門針對網(wǎng)絡(luò)威脅事件的全面事件響應(yīng)計劃至關(guān)重要。這包括用于隔離受感染系統(tǒng)、遏制傳播以及從安全備份恢復(fù)關(guān)鍵數(shù)據(jù)的預(yù)定義步驟。企業(yè)還應(yīng)該主動測試響應(yīng)計劃的有效性，通過反復(fù)的練習(xí)，不斷優(yōu)化改進安全事件響應(yīng)計劃。

4、增強網(wǎng)絡(luò)安全彈性

不斷發(fā)生的勒索攻擊和供應(yīng)鏈攻擊都證明了，在網(wǎng)絡(luò)安全世界中，彈性比以往任何時候更加重要。雖然部署EDR/XDR等防御能力仍然不可或缺，但這還遠遠不夠。面對當(dāng)今包羅萬象、不斷演變的威脅場景，需要將網(wǎng)絡(luò)風(fēng)險防護策略深入到整個組織，同時還要提升敏捷性。要想增強網(wǎng)絡(luò)安全彈性，不僅僅是網(wǎng)絡(luò)安全團隊的事情，而是關(guān)乎整個企業(yè)的事情。要實現(xiàn)這一目標(biāo)，就需要整個組織的網(wǎng)絡(luò)安全知識、技能和意識得到持續(xù)提升。

原文鏈接：https://www.csoonline.com/article/3476179/how-your-xdr-is-evaded.html