【最新評估報告】最先進的EDR并不完美，無法檢測到常見的攻擊！

2022年1月份的一篇研究論文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》，一個希臘學者團隊測試了當今18家頂級網(wǎng)絡安全公司的端點檢測和響應（EDR）軟件，發(fā)現(xiàn)許多軟件未能檢測到高級持續(xù)威脅行為者（如國家支持的間諜組織和勒索軟件團伙）使用的一些最常見的攻擊技術。

希臘雅典比雷埃夫斯大學的兩位學者George Karantzas和Constantinos Patsakis說："我們的結果表明，EDR仍有很大的改進空間，因為最先進的EDR未能防止和記錄這項工作中報告的大部分攻擊。

1典型的攻擊場景

這項研究在去年發(fā)表的一篇題為 《針對高級持續(xù)性威脅攻擊媒介的終端檢測和響應系統(tǒng)的實證評估（An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors）》的論文中詳細介紹了EDR軟件，該軟件是經(jīng)典殺毒程序的演變，使用靜態(tài)和動態(tài)分析方法來檢測惡意軟件，但也監(jiān)測、收集和匯總來自終端的數(shù)據(jù)，試圖檢測依靠更隱蔽技術的惡意行為，如濫用合法應用程序來實施攻擊。

今天，EDR結合了從靜態(tài)文件簽名規(guī)則到高級機器學習模塊的所有內容，被認為是安全軟件方面最頂端的解決方案。然而，它們并不完美。

Karantzas和Patsakis的研究旨在找出當今一些最大公司的EDR在面對模擬常見APT殺傷鏈的各種簡單攻擊時的表現(xiàn)。

他們的工作包括購買一個成熟的過期域名來托管惡意軟件的有效載荷，用Let's Encrypt SSL證書來保護該域名，并托管攻擊中常用的四種類型的文件，如：

一個Windows控制面板的快捷方式文件（.cpl）。

一個合法的Microsoft Teams安裝程序（將加載一個惡意的DLL）。

一個未簽署的可移植可執(zhí)行文件（EXE）。

一個HTML應用程序（HTA）文件。

一旦執(zhí)行，這四個文件都會濫用合法功能來加載和運行Cobalt Strike Beacon后門。

這個攻擊鏈背后的想法是，這四個文件和Beacon后門是常規(guī)的有效載荷，通常是作為魚叉式網(wǎng)絡釣魚電子郵件活動的一部分發(fā)送給受害者的，如果企業(yè)部署了EDR，那就都應該檢測、阻止或至少提醒安全團隊。

2已測試的EDR和結果

研究小組針對Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR軟件測試這些攻擊。結果見下表。

表：每個測試解決方案的攻擊匯總結果。

符號：√：成功的攻擊，◇：成功的攻擊，引發(fā)了中級警報，·：成功的攻擊，引發(fā)輕微警報，★: 攻擊成功，發(fā)出警報，◇：攻擊不成功，未發(fā)出警報，×：攻擊失敗，發(fā)出警報，＋：在供應商提供的兩個實驗中，第一個實驗在5小時后被檢測到，第二個實驗在25分鐘后被檢測到，⊙：最初的測試由于文件簽名而被阻止，第二項測試在另一個應用程序中成功。

結果顯示，在測試的EDR中，只有兩個產品對所有的攻擊載體都有全面的覆蓋，公司的防御系統(tǒng)起了作用。

研究小組認為，這種情況下，EDR將面臨被攻擊者關閉或至少禁用其遙測功能，而防御者就會看不到受感染的系統(tǒng)上可能會發(fā)生的情況，這就允許威脅者準備對本地網(wǎng)絡的進一步攻擊。

但并不是所有的EDR都在這項實驗中進行了測試。

研究人員去年在Huntress實驗室高級安全人員John Hammond的YouTube上發(fā)表的視頻中說，并不是所有的EDR供應商都同意開放他們的產品進行測試，甚至他們測試的18種產品中，有一些是在SOC和CERT團隊等中介機構的幫助下完成的。而他們的研究一經(jīng)上線，一些供應商就主動聯(lián)系并詢問有關情況以及他們可以改進其產品的方法。

聯(lián)系我們索要詳細報告。《針對高級持續(xù)性威脅攻擊媒介的終端檢測和響應系統(tǒng)的實證評估（An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors）》，詳細了解實驗方法，步驟及結論。

3有效的加強防御的方案-移動目標防御技術

現(xiàn)有的安全防御理念，想的是怎么找到更多的漏洞，找到更多的特征，提高檢測的效率。特征庫可以從1G變到10G，但是對網(wǎng)絡安全的理念是沒有變化的。今天的安全模型優(yōu)先考慮監(jiān)控，檢測，預防和修復，安全團隊以靜態(tài)的基礎架構為基礎，防御千變萬化的攻擊方法，嚴重不對稱。攻擊者有足夠的時間研究靜態(tài)基礎設施和靜態(tài)的防御技術。所以隨著時間的增加，攻擊者攻擊一個目標，時間越長，攻擊難度越小，獲取更多架構信息，攻擊經(jīng)驗不斷累積。

移動目標防御技術是一種顛覆性的防御理念，不是優(yōu)化目前的防御方式。通過不斷變化攻擊面，不是讓終端產品沒有后門，沒有漏洞，而是把攻擊變成概率問題。讓攻擊者隨著攻擊時間越長，難度越大，大大增加了攻擊者攻擊的成本，扭轉了攻防不對稱的局面。

虹科提供的是基于移動目標防御（Moving Target Defense）技術的終端解決方案，可以阻止繞過NGAV、EDR和EPP的勒索軟件、零日，無文件攻擊，內存攻擊等高級攻擊。我們的防御原理是：當一個應用程序加載到內存空間時，會對進程結構進行變形，使內存對攻擊者來說始終是不可預測的。應用程序照常加載運行，原始框架結構會留作陷阱；攻擊目標是原始框架結構，但是由于無法找到預期的和需要的資源而失敗。攻擊就被立即防御、捕獲和記錄，并帶有完整的取證細節(jié)。

4方案推薦

Morhpisec（摩菲斯）——在網(wǎng)絡安全的前沿

Morphisec（摩菲斯）作為移動目標防御的領導者，已經(jīng)證明了這項技術的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅動的漏洞預防解決方案，每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內存信標)

供應鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關鍵應用程序，windows和linux本地和云服務器提供解決方案，2MB大小快速部署。

免費的Guard Lite解決方案，將微軟的Defener AV變成一個企業(yè)級的解決方案。讓企業(yè)可以從單一地點控制所有終端。請聯(lián)系我們免費獲??！