2022年1月份的一篇研究論文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》，一個希臘學(xué)者團(tuán)隊測試了當(dāng)今18家頂級網(wǎng)絡(luò)安全公司的端點檢測和響應(yīng)（EDR）軟件，發(fā)現(xiàn)許多軟件未能檢測到高級持續(xù)威脅行為者（如國家支持的間諜組織和勒索軟件團(tuán)伙）使用的一些最常見的攻擊技術(shù)。

希臘雅典比雷埃夫斯大學(xué)的兩位學(xué)者George Karantzas和Constantinos Patsakis說："我們的結(jié)果表明，EDR仍有很大的改進(jìn)空間，因為最先進(jìn)的EDR未能防止和記錄這項工作中報告的大部分攻擊。

1典型的攻擊場景

這項研究在去年發(fā)表的一篇題為 《針對高級持續(xù)性威脅攻擊媒介的終端檢測和響應(yīng)系統(tǒng)的實證評估（An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors）》的論文中詳細(xì)介紹了EDR軟件，該軟件是經(jīng)典殺毒程序的演變，使用靜態(tài)和動態(tài)分析方法來檢測惡意軟件，但也監(jiān)測、收集和匯總來自終端的數(shù)據(jù)，試圖檢測依靠更隱蔽技術(shù)的惡意行為，如濫用合法應(yīng)用程序來實施攻擊。

今天，EDR結(jié)合了從靜態(tài)文件簽名規(guī)則到高級機(jī)器學(xué)習(xí)模塊的所有內(nèi)容，被認(rèn)為是安全軟件方面最頂端的解決方案。然而，它們并不完美。

Karantzas和Patsakis的研究旨在找出當(dāng)今一些最大公司的EDR在面對模擬常見APT殺傷鏈的各種簡單攻擊時的表現(xiàn)。

他們的工作包括購買一個成熟的過期域名來托管惡意軟件的有效載荷，用Let's Encrypt SSL證書來保護(hù)該域名，并托管攻擊中常用的四種類型的文件，如：

一個Windows控制面板的快捷方式文件（.cpl）。

一個合法的Microsoft Teams安裝程序（將加載一個惡意的DLL）。

一個未簽署的可移植可執(zhí)行文件（EXE）。

一個HTML應(yīng)用程序（HTA）文件。

一旦執(zhí)行，這四個文件都會濫用合法功能來加載和運行Cobalt Strike Beacon后門。

這個攻擊鏈背后的想法是，這四個文件和Beacon后門是常規(guī)的有效載荷，通常是作為魚叉式網(wǎng)絡(luò)釣魚電子郵件活動的一部分發(fā)送給受害者的，如果企業(yè)部署了EDR，那就都應(yīng)該檢測、阻止或至少提醒安全團(tuán)隊。

2已測試的EDR和結(jié)果

研究小組針對Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR軟件測試這些攻擊。結(jié)果見下表。

表：每個測試解決方案的攻擊匯總結(jié)果。

符號：√：成功的攻擊，◇：成功的攻擊，引發(fā)了中級警報，·：成功的攻擊，引發(fā)輕微警報，★: 攻擊成功，發(fā)出警報，◇：攻擊不成功，未發(fā)出警報，×：攻擊失敗，發(fā)出警報，＋：在供應(yīng)商提供的兩個實驗中，第一個實驗在5小時后被檢測到，第二個實驗在25分鐘后被檢測到，⊙：最初的測試由于文件簽名而被阻止，第二項測試在另一個應(yīng)用程序中成功。

結(jié)果顯示，在測試的EDR中，只有兩個產(chǎn)品對所有的攻擊載體都有全面的覆蓋，公司的防御系統(tǒng)起了作用。

研究小組認(rèn)為，這種情況下，EDR將面臨被攻擊者關(guān)閉或至少禁用其遙測功能，而防御者就會看不到受感染的系統(tǒng)上可能會發(fā)生的情況，這就允許威脅者準(zhǔn)備對本地網(wǎng)絡(luò)的進(jìn)一步攻擊。

但并不是所有的EDR都在這項實驗中進(jìn)行了測試。

研究人員去年在Huntress實驗室高級安全人員John Hammond的YouTube上發(fā)表的視頻中說，并不是所有的EDR供應(yīng)商都同意開放他們的產(chǎn)品進(jìn)行測試，甚至他們測試的18種產(chǎn)品中，有一些是在SOC和CERT團(tuán)隊等中介機(jī)構(gòu)的幫助下完成的。而他們的研究一經(jīng)上線，一些供應(yīng)商就主動聯(lián)系并詢問有關(guān)情況以及他們可以改進(jìn)其產(chǎn)品的方法。

聯(lián)系我們索要詳細(xì)報告?！夺槍Ω呒壋掷m(xù)性威脅攻擊媒介的終端檢測和響應(yīng)系統(tǒng)的實證評估（An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors）》，詳細(xì)了解實驗方法，步驟及結(jié)論。

3有效的加強防御的方案-移動目標(biāo)防御技術(shù)

現(xiàn)有的安全防御理念，想的是怎么找到更多的漏洞，找到更多的特征，提高檢測的效率。特征庫可以從1G變到10G，但是對網(wǎng)絡(luò)安全的理念是沒有變化的。今天的安全模型優(yōu)先考慮監(jiān)控，檢測，預(yù)防和修復(fù)，安全團(tuán)隊以靜態(tài)的基礎(chǔ)架構(gòu)為基礎(chǔ)，防御千變?nèi)f化的攻擊方法，嚴(yán)重不對稱。攻擊者有足夠的時間研究靜態(tài)基礎(chǔ)設(shè)施和靜態(tài)的防御技術(shù)。所以隨著時間的增加，攻擊者攻擊一個目標(biāo)，時間越長，攻擊難度越小，獲取更多架構(gòu)信息，攻擊經(jīng)驗不斷累積。

移動目標(biāo)防御技術(shù)是一種顛覆性的防御理念，不是優(yōu)化目前的防御方式。通過不斷變化攻擊面，不是讓終端產(chǎn)品沒有后門，沒有漏洞，而是把攻擊變成概率問題。讓攻擊者隨著攻擊時間越長，難度越大，大大增加了攻擊者攻擊的成本，扭轉(zhuǎn)了攻防不對稱的局面。

虹科提供的是基于移動目標(biāo)防御（Moving Target Defense）技術(shù)的終端解決方案，可以阻止繞過NGAV、EDR和EPP的勒索軟件、零日，無文件攻擊，內(nèi)存攻擊等高級攻擊。我們的防御原理是：當(dāng)一個應(yīng)用程序加載到內(nèi)存空間時，會對進(jìn)程結(jié)構(gòu)進(jìn)行變形，使內(nèi)存對攻擊者來說始終是不可預(yù)測的。應(yīng)用程序照常加載運行，原始框架結(jié)構(gòu)會留作陷阱；攻擊目標(biāo)是原始框架結(jié)構(gòu)，但是由于無法找到預(yù)期的和需要的資源而失敗。攻擊就被立即防御、捕獲和記錄，并帶有完整的取證細(xì)節(jié)。

4方案推薦

Morhpisec（摩菲斯）——在網(wǎng)絡(luò)安全的前沿

Morphisec（摩菲斯）作為移動目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動的漏洞預(yù)防解決方案，每天保護(hù)800多萬個端點和服務(wù)器免受許多最先進(jìn)的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護(hù)平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費的Guard Lite解決方案，將微軟的Defener AV變成一個企業(yè)級的解決方案。讓企業(yè)可以從單一地點控制所有終端。請聯(lián)系我們免費獲取！