0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

【最新评估报告】最先进的EDR并不完美,无法检测到常见的攻击!

虹科网络可视化技术 2022-05-27 10:51 次阅读

2022年1月份的一篇研究论文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》,一个希腊学者团队测试了当今18家顶级网络安全公司的端点检测和响应(EDR)软件,发现许多软件未能检测到高级持续威胁行为者(如国家支持的间谍组织和勒索软件团伙)使用的一些最常见的攻击技术。

希腊雅典比雷埃夫斯大学的两位学者George Karantzas和Constantinos Patsakis说:"我们的结果表明,EDR仍有很大的改进空间,因为最先进的EDR未能防止和记录这项工作中报告的大部分攻击。

be7222ac-dd11-11ec-b80f-dac502259ad0.png1典型的攻击场景

这项研究在去年发表的一篇题为 《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的论文中详细介绍了EDR软件,该软件是经典杀毒程序的演变,使用静态和动态分析方法来检测恶意软件,但也监测、收集和汇总来自终端的数据,试图检测依靠更隐蔽技术的恶意行为,如滥用合法应用程序来实施攻击。

今天,EDR结合了从静态文件签名规则到高级机器学习模块的所有内容,被认为是安全软件方面最顶端的解决方案。然而,它们并不完美。

Karantzas和Patsakis的研究旨在找出当今一些最大公司的EDR在面对模拟常见APT杀伤链的各种简单攻击时的表现。

他们的工作包括购买一个成熟的过期域名来托管恶意软件的有效载荷,用Let's Encrypt SSL证书来保护该域名,并托管攻击中常用的四种类型的文件,如:

一个Windows控制面板的快捷方式文件(.cpl)。

一个合法的Microsoft Teams安装程序(将加载一个恶意的DLL)。

一个未签署的可移植可执行文件(EXE)。

一个HTML应用程序(HTA)文件。

一旦执行,这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。

这个攻击链背后的想法是,这四个文件和Beacon后门是常规的有效载荷,通常是作为鱼叉式网络钓鱼电子邮件活动的一部分发送给受害者的,如果企业部署了EDR,那就都应该检测、阻止或至少提醒安全团队。


be7222ac-dd11-11ec-b80f-dac502259ad0.png2已测试的EDR和结果

研究小组针对Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR软件测试这些攻击。结果见下表。

EDR

CPL

HTA

EXE

DLL

BitDefender GravityZonePlus

×

×

×

Carbon Black Response

·

×

Check Point Harmony

×

×

思科AMP

×

×

Comodo OpenEDR

×

×

CrowdStrikeFaleon

×

Elastic EDR

×

×

F-Secure Elements 终端检测和响应

×

FortiEDR

×

×

×

×

微软终端防御系统

×

×

Panda Adaptive Defense 360

×

Sentinel One (不含测试功能)

×

Sentinel One (含测试功能)

×

×

×

×

Sophos Intercept X with EDR

×

×

Trend micro Apex One

·

·

终端保护

ESET PROTECT Enterprise

×

×

F-Secure Elements 终端: 保护平台

Kaspersky终端安全

×

×

×

McAfee终端保护

×

×

Symantec 终端保护

×

表:每个测试解决方案的攻击汇总结果。

符号:√:成功的攻击,◇:成功的攻击,引发了中级警报,·:成功的攻击,引发轻微警报,★: 攻击成功,发出警报,◇:攻击不成功,未发出警报,×:攻击失败,发出警报,+:在供应商提供的两个实验中,第一个实验在5小时后被检测到,第二个实验在25分钟后被检测到,⊙:最初的测试由于文件签名而被阻止,第二项测试在另一个应用程序中成功。

结果显示,在测试的EDR中,只有两个产品对所有的攻击载体都有全面的覆盖,公司的防御系统起了作用。

研究小组认为,这种情况下,EDR将面临被攻击者关闭或至少禁用其遥测功能,而防御者就会看不到受感染的系统上可能会发生的情况,这就允许威胁者准备对本地网络的进一步攻击。

但并不是所有的EDR都在这项实验中进行了测试。

研究人员去年在Huntress实验室高级安全人员John Hammond的YouTube上发表的视频中说,并不是所有的EDR供应商都同意开放他们的产品进行测试,甚至他们测试的18种产品中,有一些是在SOC和CERT团队等中介机构的帮助下完成的。而他们的研究一经上线,一些供应商就主动联系并询问有关情况以及他们可以改进其产品的方法。


联系我们索要详细报告。《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》,详细了解实验方法,步骤及结论。

beb1e9f0-dd11-11ec-b80f-dac502259ad0.gif

be7222ac-dd11-11ec-b80f-dac502259ad0.png3有效的加强防御的方案-移动目标防御技术

现有的安全防御理念,想的是怎么找到更多的漏洞,找到更多的特征,提高检测的效率。特征库可以从1G变到10G,但是对网络安全的理念是没有变化的。今天的安全模型优先考虑监控,检测,预防和修复,安全团队以静态的基础架构为基础,防御千变万化的攻击方法,严重不对称。攻击者有足够的时间研究静态基础设施和静态的防御技术。所以随着时间的增加,攻击者攻击一个目标,时间越长,攻击难度越小,获取更多架构信息,攻击经验不断累积。

移动目标防御技术是一种颠覆性的防御理念,不是优化目前的防御方式。通过不断变化攻击面,不是让终端产品没有后门,没有漏洞,而是把攻击变成概率问题。让攻击者随着攻击时间越长,难度越大,大大增加了攻击者攻击的成本,扭转了攻防不对称的局面。

虹科提供的是基于移动目标防御(Moving Target Defense)技术的终端解决方案,可以阻止绕过NGAV、EDR和EPP的勒索软件、零日,无文件攻击,内存攻击等高级攻击。我们的防御原理是:当一个应用程序加载到内存空间时,会对进程结构进行变形,使内存对攻击者来说始终是不可预测的。应用程序照常加载运行,原始框架结构会留作陷阱;攻击目标是原始框架结构,但是由于无法找到预期的和需要的资源而失败。攻击就被立即防御、捕获和记录,并带有完整的取证细节。

be7222ac-dd11-11ec-b80f-dac502259ad0.png4方案推荐

bf68389a-dd11-11ec-b80f-dac502259ad0.png

Morhpisec(摩菲斯)——在网络安全的前沿

bf864a10-dd11-11ec-b80f-dac502259ad0.png

Morphisec(摩菲斯)作为移动目标防御的领导者,已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案,每天保护800多万个端点和服务器免受许多最先进的攻击。事实上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击,这些攻击是NGAV、EDR解决方案和端点保护平台(EPP)未能检测和/或阻止的。(例如,Morphisec客户的成功案例,Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下,在第零日就被阻止的此类攻击的例子包括但不限于:

勒索软件(例如,Conti、Darkside、Lockbit)

后门程序(例如,Cobalt Strike、其他内存信标)

供应链(例如,CCleaner、华硕、Kaseya payloads、iTunes)

恶意软件下载程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec(摩菲斯)为关键应用程序windows和linux本地和云服务器提供解决方案,2MB大小快速部署。

免费的Guard Lite解决方案,将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取!

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59744
  • EDR
    EDR
    +关注

    关注

    0

    文章

    23

    浏览量

    1992
收藏 人收藏

    评论

    相关推荐

    网络攻击中常见的掩盖真实IP的攻击方式

    在各类网络攻击中,掩盖真实IP进行攻击常见的手段,因为攻击者会通过这样的手段来逃脱追踪和法律监管。我们需要对这类攻击做出判断,进而做出有效
    的头像 发表于 12-12 10:24 95次阅读

    使用LMX2820时,电荷泵的输出无法检测到锁定是怎么回事?

    您好,在使用LMX2820时,电荷泵的输出会出现如图所示的情况,无法检测到锁定,输出的频率也与我目标的有些差距,请问是什么问题呢,感谢您的回答。另外我的环路滤波器与EVM板上一致,参考时钟信号为差分,Vpp=400mV。
    发表于 11-08 11:35

    求助,两块VCA810级联输出波形为什么如此不完美

    两块VCA810级联,双电源+-5V供电,输入信号为0--10M的20mv正弦波,放大倍数为40db,输出波形为什么如此不完美????请求专家指导 这是我的威廉希尔官方网站 原理图: 这是我焊接的威廉希尔官方网站
    发表于 09-19 07:08

    库克称iPhone16是最先进的iPhone

    最新款iPhone、Watch和AirPods,最大的亮点估计在人工智能。所以库克称iPhone16是最先进的iPhone。 库克表示。iPhone 16 系列是我们打造的最先进的 iPhone。得益于
    的头像 发表于 09-10 11:47 822次阅读

    在IAR中使用KitProg3进行调试,无法检测到目标是怎么回事?

    我试图在 IAR 中使用 KitProg3 进行调试,但遇到以下错误: 看来 KitProg3 设备已被识别。 似乎无法检测到目标。 考虑到 LED4 和 LED1 在模式下闪烁,看来 MCU 运行正常。 问题出在哪里? 我使用的是 IAR 9.30.1 版。
    发表于 06-03 06:15

    蓝牙模块所用的EDR是什么?

    数据传输呢?答案就在于蓝牙模块所采用的EDR(Extended Data Rate)技术。本文美迅物联网MesoonRF将为您详细介绍蓝牙模块所用的EDR是什么。   一、什么是EDR?  E
    的头像 发表于 05-24 14:23 486次阅读

    Tektronix示波器无法检测到探头的可能原因及解决方法

    在使用 Tektronix 示波器进行测量时,有时可能会遇到无法检测到探头的情况。这可能是由多种因素引起的,下面将详细介绍可能的原因以及解决方法。 1. 探头连接问题 原因: 探头未正确连接到示波器
    的头像 发表于 05-08 11:09 744次阅读
    Tektronix示波器<b class='flag-5'>无法</b><b class='flag-5'>检测到</b>探头的可能原因及解决方法

    使用STM32L4R9单片机开发板,DfuSeDemo无法检测到设备的原因?

    使用STM32L4R9单片机开发板,官方例程STM32Cube_FW_L4_V1.16.0Projects32L4R9IDISCOVERYApplicationsUSB_DeviceDFU_Standalone 实现USB的IAP,下载完DFU程序后,DfuSeDemo无法检测到
    发表于 04-09 07:59

    使用ntopng和NetFlow/IPFIX检测Dos攻击(下)

    话不多说,直接进入正题。文章速览:Ntopng在模拟中发出警报警报:最近的活跃流一个攻击检测过程示例——使用slowhttptest进行HTTP慢速攻击
    的头像 发表于 04-04 08:04 421次阅读
    使用ntopng和NetFlow/IPFIX<b class='flag-5'>检测</b>Dos<b class='flag-5'>攻击</b>(下)

    H747I-DISCO写程序时将CN2的st-link复用为usart1,再次烧录时无法检测到stlink怎么解决?

    对H747I-DISCO写程序时将CN2的st-link复用为usart1,再次烧录时无法检测到stlink,有什么解决方法。
    发表于 03-18 07:09

    终端设备经常无法检测到fx3(CYUSB3065)的uvc camera怎么解决?

    你好,我们现在生成的板子采用uvc ov5640方案,但是我们在测试过程经常发现有的手机通过type-c线连接cx3时,经常无法检测到uvc设备,但是有的手机或者电脑支持比较好。最主要的一个现象
    发表于 02-28 07:03

    使用xmc flasher和xmc链接,插入xmc时Flasher软件无法检测到是为什么?

    我正在尝试使用 xmc flasher 和 xmc 链接。 插入 xmc 链接时,Flasher 软件无法检测到。 我在 MS Surface 和戴尔电脑上试过。 都不起作用。
    发表于 01-30 07:38

    edr系统软件有什么用 EDR系统与传统杀毒软件有什么区别

    EDR(Endpoint Detection and Response)系统软件是一种用于监测和应对网络终端设备上的安全威胁的软件。 一、EDR系统软件的作用: 实时监测和检测EDR
    的头像 发表于 01-19 10:15 7944次阅读

    维修安捷伦54621A示波器无法检测到信号案例

    近日山东某企业送修安捷伦示波器54621A,客户反馈无法检测到信号,对仪器进行初步检测,确定与客户描述故障基本一致。本期将为大家分享本维修案例。 下面就是安捷伦-54621A维修情况   安捷伦
    的头像 发表于 01-17 17:33 991次阅读
    维修安捷伦54621A示波器<b class='flag-5'>无法</b><b class='flag-5'>检测到</b>信号案例

    ADXL345无法检测到落体运动如何解决?

    在用加速度传感器ADXL345测量落体运动时,当初速度为0自由落体时,传感器能够正常检测到。但是当初速度不为0或者旋转时再扔出去,传感器ADXL345就无法检测到落体运动,请教如何解释这一现象?如何解决?非常感谢,困扰我很长时间
    发表于 12-29 06:45