黑客正在尋找規避最新網絡安全工具的方法 - 彭博社

隨着黑客行為變得更具破壞性和普遍性，包括 CrowdStrike Holdings Inc. 和 Microsoft Corp. 在內的公司提供的一種強大工具已成為網絡安全行業的福音。

這種被稱為 終端檢測和響應軟件，旨在及早發現筆記本電腦、服務器和其他設備上的惡意活動跡象 —— 計算機網絡中的“終端”，並在入侵者竊取數據或鎖定設備之前將其阻止。

但專家表示，黑客已經針對某些形式的技術開發瞭解決方法，使他們能夠繞過已成為保護關鍵系統黃金標準的產品。

例如，在過去的兩年中，Mandiant，這是Alphabet Inc.的 Google Cloud 部門的一部分，已調查了 84 起 EDR 或其他終端安全軟件被篡改或禁用的事件，該公司的首席威脅分析師 Tyler McLellan 表示。

這些發現代表了一個持續幾十年的貓鼠遊戲的最新演變，隨着黑客調整他們的技術以克服最新的網絡安全保護措施，根據曾在 McAfee 和 Microsoft 擔任高級職位，現在是英國網絡安全企業家的 Mark Curphey 的説法。

“黑客安全保護工具並不是什麼新鮮事，”他説，並補充説，“如果成功，獎勵就是訪問使用這些工具的所有系統，根據定義，這些系統值得保護。”

多家網絡安全公司的調查人員表示，繞過或禁用EDR的攻擊數量雖小但在增長，黑客在尋找規避其提供的更強保護措施方面變得更具創造力。

去年12月，微軟在一篇博客文章中披露，黑客欺騙公司將其真實性標記應用於惡意軟件，然後用於禁用公司的EDR和受害者網絡上的其他安全工具。微軟暫停了涉及此詭計的第三方開發者賬户，並表示公司正在“努力尋找長期解決方案，以解決這些欺騙行為並防止未來對客户的影響。”

今年2月，Arctic Wolf Networks 詳細描述了去年底調查的一個案例，Lorenz勒索軟件組的黑客最初被受害者的EDR阻擋。該公司表示，黑客重新組織並部署了一個免費的數字取證工具，使他們能夠直接訪問計算機的內存併成功部署了他們的勒索軟件，繞過了EDR。Arctic Wolf沒有透露受害者或受影響的EDR。

今年4月，Sophos Group 披露了一種新發現的惡意軟件，這種軟件已被用於禁用微軟、Sophos本身和其他幾家公司的EDR工具，然後部署Lockbit和Medusa Locker勒索軟件。“繞過EDR並禁用安全軟件顯然是一種不斷增長的策略，”威脅研究高級經理克里斯托弗·巴德説。“由於這種攻擊的性質，它特別難以檢測，因為它針對的是檢測和防止網絡攻擊的工具本身。”

EDR和其他新的端點安全技術市場去年全球增長了27%，達到86億美元，由IDC稱領導者是CrowdStrike和微軟。

CrowdStrike的高級副總裁亞當·邁耶斯表示，對EDR軟件的攻擊數量不斷增加表明黑客“一直在進化”。CrowdStrike跟蹤的許多攻擊——針對其產品和競爭對手的攻擊——涉及客户系統的錯誤配置或軟件或固件深處的漏洞，這表明黑客不得不更加努力地進入目標網絡，他説。“這是一個向底層堆棧的競賽，”邁耶斯説。“我們正在嘗試越來越低，越來越接近硬件，你越接近硬件，攻擊就越難阻止。”

微軟代表拒絕對本故事發表評論。

十年前，殺毒軟件製造商是PC和其他端點安全產品的主要供應商。隨着越來越先進的攻擊暴露了依賴分析師手動創建新惡意軟件變種的數字“簽名”來阻止它們的技術的弱點，它們的受歡迎程度下降了，根據網絡安全專家的説法。

勒索軟件和其他破壞性攻擊的興起推動了對EDR和類似技術的需求，這些技術旨在更早地檢測和阻止感染。這些工具尋找更多惡意活動的信號，並自動化許多耗時的調查和修復違規行為的任務。

彭博社揭露的一起此前未報告的事件發生在十月份，當時總部位於丹麥哥本哈根的CSIS安全集團調查了一家歐洲製造公司的數據泄露事件。

黑客利用了微軟EDR中一個之前未知的漏洞，並將惡意軟件打包在一種方式中，以致安全工具檢測到並警告受害公司的IT團隊攻擊已被阻止，據CSIS首席創新官兼負責人Jan Kaastrup稱。調查。但黑客並未被阻止，能夠在網絡中漫遊三週，他説。直到受害公司發現數據正在離開其企業網絡並聯繫了丹麥安全公司，才發現了數據泄露事件。Kaastrup拒絕透露受害公司的身份，但允許彭博社查看匿名的事件報告副本。該公司向微軟報告了這個問題，微軟拒絕就此事向彭博發表評論。

他説，從最近的事件中得到的教訓很簡單：技術只能在一定程度上抵禦決心堅定的黑客。

“安全軟件不能獨立存在 —— 你需要屏幕上的眼睛結合技術，”他説。EDR“比殺毒軟件好得多。所以你肯定需要它。它只不過不是某些人認為的靈丹妙藥。”