Estudio sobre eficacia de los EDR

Varios investigadores de la Universidad del Pireo en Atenas han testeado 18 EDRs (software de detección y respuesta de endpoints) diferentes y descubierto que muchos no detectan algunas de las técnicas de ataque más comunes utilizadas hoy en día por la mayoría de los actores actuales.

"Nuestros resultados indican que todavía hay mucho margen de mejora ya que los EDR de última generación no logran prevenir ni registrar la mayor parte de los ataques que se reportan en este estudio", dijeron George Karantzas y Constantinos Patsakis.

Su investigación, detallada en el paper 'An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors', puso a prueba a los principales EDR del último informe de Gartner de 2021 y básicamente consistía en la adquisición de un dominio categorizado como de 'finanzas', protegido con un certificado SSL de Let's Encrypt y que alojaba cuatro tipos de archivos que se utilizan comúnmente en los ataques, que abusarían de funciones legítimas para cargar y ejecutar un Beacon de Cobalt Strike.

1. Un archivo de acceso directo del panel de control de Windows (.cpl)

Creado con CPLResourceRunner (https://github.com/rvrsh3ll/CPLResourceRunner) y almacenando el shellcode con Archivos mapeados en memoria (MMF) y luego lanzándolo con delegates.

2. Un instalador legítimo de Microsoft Teams (que cargaba una DLL maliciosa)

Auto-inyectándose mediante DLL side-loading, lo que permite "vivir" bajo un binario firmado. Para lograrlo, utilizaron AQUARMOURY-Brownie (https://github.com/slaeryan/AQUARMOURY). El método de ejecución del shellcode es un CreateThread() clásico basado en una inyección local que lanzará el shellcode bajo un proceso de binario firmado y benigno.

3. Un archivo ejecutable portable (EXE) sin firmar

Este exe ejecutaba la inyección utilizando la técnica "Early Bird" de AQUARMOURY en werfault.exe. Esta técnica hace uso del mecanismo implementado en Windows para las llamadas asíncronas a procedimientos, también conocido como APC o Asynchronous Procedure Calls. El padre de explorer.exe es spoofeado utilizando la flag PROC THREAD ATTRIBUTE MITIGATION POLICY para proteger el malware de un evento DLL no firmado por Microsoft que es comúnmente utilizado por el EDR para la monitorización de los procesos.

4. Un archivo de aplicación HTML (HTA):

Una vez que el usuario visita una página HTML que contiene un IFrame, será redirigido y se le preguntará para ejecutar un archivo HTML con código VBS ejecutable que cargará el siguiente código .NET que realiza la autoinyección en el contexto de mshta.exe.

Usa C# y un gadget generado por Gadget2JScript (https://github.com/med0x2e/GadgetToJScript)

Resultados

La siguiente tabla muestra un resumen de los resultados.

Leyenda de la tabla de resultados (pág. 34 del informe):

✔: ataque exitoso, alerta media elevada.
⚫: ataque exitoso, alerta menor elevada.
★: ataque exitoso, se generó alerta.
🔘: ataque fallido, no se generó alerta.
✘: ataque fallido, se generaron alertas.
✞: en dos experimentos proporcionados por el proveedor, en el primero se detectó después de cinco horas, 
en el segundo se detectó después de 25 minutos
◉: La prueba inicial se bloqueó debido a la firma del archivo, 
el segundo tuvo éxito con otra aplicación.
⛛: el ataque fue detectado y bloqueado.
⊕: bloqueado por tipo de archivo (LOLBAS) pero la técnica funcionó.

De los 20 ataques que fueron lanzados, más de la mitad tuvieron éxito. Como se vé es bastante alarmante que ninguno de los EDR logró detectar todos los ataques. Concretamente:

• 10 ataques fueron completamente exitosos, ya que se completaron y no generaron ninguna alerta;
• 3 ataques tuvieron éxito, pero generaron una alerta de baja importancia;
• 1 ataque no tuvo éxito, sin embargo, no emitió ninguna alerta, y;
• 6 ataques fueron detectados y correctamente reportados por los EDR. 

Fuente: HackPlayers

Suscríbete a nuestro Boletín