2 Lästid Varför är PoolParty viktigt för framtiden av EDR
Table of Contents
SafeBreach-forskare har upptäckt åtta nya tekniker för processinjektion som kan användas för att hemlighetsfullt exekvera skadlig kod på Windows-system.
Döpt till ”Pool Party” eftersom de (miss)använder Windows-trådpooler, fungerar dessa processinjektionstekniker över alla processer och gick enligt forskarna obemärkt förbi när de testades mot fem ledande EDR/XDR-lösningar, nämligen: Palo Alto Cortex, SentinelOne EDR, CrowdStrike Falcon, Microsoft Defender For Endpoint och Cybereason EDR.
”Pool Party”-processinjektionstekniker
Processinjektion består vanligtvis av en kedja av tre attackvektorer, förklarade SafeBreach-forskaren Alon Leviev: Allokeringsprimitiven allokerar minne i målprocessen, skrivningsprimitiven skriver skadlig kod till det allokerade minnet, och exekveringsprimitiven exekverar den koden.
EDR:er tillåter de två första stegen av injektion – minnesallokering och skrivning till fjärrprocess – och fokuserar sin detektion på det sista steget: fjärrkörning, säger Tomer Bar, VP of Security Research på SafeBreach. För att lura EDR:er hittade Leviev och hans kollegor ett sätt att skapa en exekveringsprimitiv baserad på de andra två primitiverna.
Problemet, sade Bar till Help Net Security, är att EDR:er baserar sin detektion på identiteten hos processen som utför åtgärden. Om det är en betrodd process tillåter den åtgärden, om inte kommer åtgärden att blockeras, noterade han vilket liknar en supply chain attack.
Han berättade också att ”Pool Party”-attacker kan kringgå ytterligare detektionsmekanismer som ransomware- och lösenordsdumpningsdetektering.
Ett exempel är Microsofts skydd för kontrollerad mappåtkomst, som blockerar alla ändringar eller borttagningar av filer i skyddade mappar. Men ändring är tillåten för vissa processer som explorer.exe, och när vi injicerar ransomkod i den kan vi kringgå skyddet och kryptera alla filer i skyddade mappar, förklarade han.
Vad är lösningen?
Det blir mer och mer tydligt att enbart ha ett EDR verktyg räcker inte till. Det behövs övervakning och det behövs aktiv hotjakt via en SOC/MDR tjänst för att kunna upptäcka märkliga beteenden i applikationer som är ”godkända”
