La debilidad de las herramientas EDR permite a los atacantes introducir malware …



Una técnica llamada enganche utilizada por la mayoría de los productos de respuesta y detección de puntos finales para monitorear los procesos en ejecución puede ser abusada, según muestra una nueva investigación.

Una debilidad fundamental en la forma en que funcionan casi todos los sistemas de detección y respuesta de puntos finales (EDR) les da a los atacantes una oportunidad para escabullirse de malware.

Solucionar el problema no será fácil, ya que requerirá una revisión sustancial de la mayoría de los sistemas EDR actuales en el mercado, dijo Optiv en un informe esta semana.

Los productos EDR están diseñados para detectar y responder a comportamientos sospechosos y ataques en dispositivos terminales. La mayoría combina la detección de malware basada en firmas con análisis heurístico, sandboxing y otras técnicas para detectar y bloquear amenazas. La tecnología permite a los equipos de seguridad aislar rápidamente los sistemas comprometidos y recopilar registros de terminales y otros indicadores de amenazas para facilitar la reparación.

Una técnica que utilizan muchos productos de EDR para detectar actividades sospechosas y recopilar información para análisis basados ​​en el comportamiento se llama «enganche». Matthew Eidelberg, gerente técnico de Optiv, describe el enganche como una técnica para monitorear programas de computadora mientras se ejecutan. Los ganchos se colocan en una interfaz de llamada al sistema (syscall), que permite que un proceso en ejecución interactúe con el sistema operativo para solicitar servicios, como la asignación de memoria o la creación de un archivo.

«Muchos productos EDR colocan estos ganchos en un punto de ejecución del programa al que los usuarios tienen acceso para que tengan permisos para eliminarlos o evitarlos por completo», dice Eidelberg.

Los ganchos brindan a los agentes EDR en dispositivos de punto final una forma de monitorear todos los procesos en ejecución y buscar cualquier cambio en esos procesos. El agente de EDR pasa los datos recopilados mediante el enlace a la plataforma del proveedor de EDR para un análisis más detallado.

El problema es que debido a que los ganchos se colocan en el espacio del usuario, todo en el espacio de memoria de un proceso cuando se crea el proceso tiene los mismos permisos que el usuario que lo ejecuta.

«Esto significa que el código malicioso tiene los mismos permisos que las bibliotecas de vínculos dinámicos del sistema», dice Eidelberg.

Como resultado, los atacantes pueden modificar los ganchos en estos archivos DLL del sistema para permitir que el código malicioso eluda los mecanismos de detección y corrección del producto EDR. Debido al lugar donde existen los ganchos, los atacantes también podrían escribir sus propias funciones de llamada al sistema maliciosas en un proceso y hacer que el sistema operativo las ejecute.

«Los productos EDR no saben que existen ni dónde se encuentran, por lo que les resulta imposible engancharse», dijo Eidelberg.

La investigación de Optiv sobre las debilidades en torno a EDR y los ganchos de memoria se basa en trabajos anteriores de otros investigadores. Pero en lugar de centrarse en técnicas que funcionan solo en productos individuales, el proveedor de seguridad buscó ver si podía encontrar problemas sistémicos al conectar todos los productos EDR que los atacantes podrían explotar, dijo Optiv en su informe. Como parte de su esfuerzo, la compañía desarrolló exploits que mostraban cómo podía infiltrar una carga útil maliciosa en productos de cuatro proveedores líderes de productos EDR.

Un atacante solo necesitaría acceso a un punto final remoto para ejecutar estos ataques, señaló Eidelberg. Sin embargo, los EDR que operan en el espacio del kernel no deberían verse tan afectados.

«Esto se debe a que el espacio del kernel es un área donde estos ganchos son bastante confiables», dice. «Es difícil para un atacante hacer algo en el kernel debido a los controles de seguridad relacionados con la carga del código».

Eidelberg dice que Optiv ha estado ayudando a los proveedores de EDR a comprender cómo los atacantes pueden explotar estos problemas en la naturaleza. Varios de ellos han comenzado a renovar sus productos y a aumentar la telemetría recopilada a través del enlace para ver si pueden detectar la manipulación de las DLL del sistema, dice. Algunos proveedores incluso están moviendo sus ganchos al espacio protegido del núcleo.

«Todos estos son grandes pasos, pero tomará algún tiempo implementarlos», señaló.

Mientras tanto, las organizaciones deben continuar asegurándose de tener controles sólidos y mecanismos de detección para evitar que los atacantes lleguen al punto en el que puedan ejecutar código malicioso en un sistema de punto remaining en primer lugar, dice Eidelberg.

«Para que un atacante se aproveche de esto, necesitaría introducir su código malicioso en los sistemas de una organización y ejecutar estas acciones», dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial