【最新评估报告】最先进的EDR并不完美,无法检测到常见的攻击
2022年1月份的一篇研究论文《An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors》,一个希腊学者团队测试了当今18家顶级网络安全公司的端点检测和响应(EDR)软件,发现许多软件未能检测到高级持续威胁行为者(如国家支持的间谍组织和勒索软件团伙)使用的一些最常见的攻击技术。
希腊雅典比雷埃夫斯大学的两位学者George Karantzas和Constantinos Patsakis说:"我们的结果表明,EDR仍有很大的改进空间,因为最先进的EDR未能防止和记录这项工作中报告的大部分攻击。
典型的攻击场景
这项研究在去年发表的一篇题为 《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》的论文中详细介绍了EDR软件,该软件是经典杀毒程序的演变,使用静态和动态分析方法来检测恶意软件,但也监测、收集和汇总来自终端的数据,试图检测依靠更隐蔽技术的恶意行为,如滥用合法应用程序来实施攻击。
今天,EDR结合了从静态文件签名规则到高级机器学习模块的所有内容,被认为是安全软件方面最顶端的解决方案。然而,它们并不完美。
Karantzas和Patsakis的研究旨在找出当今一些最大公司的EDR在面对模拟常见APT杀伤链的各种简单攻击时的表现。
他们的工作包括购买一个成熟的过期域名来托管恶意软件的有效载荷,用Let's Encrypt SSL证书来保护该域名,并托管攻击中常用的四种类型的文件,如:
一个Windows控制面板的快捷方式文件(.cpl)。
一个合法的Microsoft Teams安装程序(将加载一个恶意的DLL)。
一个未签署的可移植可执行文件(EXE)。
一个HTML应用程序(HTA)文件。
一旦执行,这四个文件都会滥用合法功能来加载和运行Cobalt Strike Beacon后门。
这个攻击链背后的想法是,这四个文件和Beacon后门是常规的有效载荷,通常是作为鱼叉式网络钓鱼电子邮件活动的一部分发送给受害者的,如果企业部署了EDR,那就都应该检测、阻止或至少提醒安全团队。
已测试的EDR和结果
研究小组针对Bitdefender、Carbon Black、Check Point、Cisco、Comodo、CrowdStrike、Elastic、ESET、F-Secure、Fortinet、Kaspersky、McAfee、Microsoft、Panda Security、Sentinel One、Sophos、Symantec和Trend Micro的EDR软件测试这些攻击。结果见下表。
|
EDR |
CPL |
HTA |
EXE |
DLL |
|
BitDefender GravityZone Plus |
× |
× |
√ |
× |
|
Carbon Black Response |
· |
× |
√ |
√ |
|
Check Point Harmony |
× |
◇ |
× |
√ |
|
思科 AMP |
× |
× |
√ |
⊙ |
|
Comodo OpenEDR |
× |
√ |
× |
√ |
|
CrowdStrike Faleon |
√ |
√ |
× |
√ |
|
Elastic EDR |
× |
√ |
√ |
× |
|
F-Secure Elements 终端检测和响应 |
◇ |
+ |
√ |
× |
|
FortiEDR |
× |
× |
× |
× |
|
微软终端防御系统 |
★ |
× |
× |
√ |
|
Panda Adaptive Defense 360 |
× |
√ |
★ |
√ |
|
Sentinel One (不含测试功能) |
√ |
√ |
√ |
× |
|
Sentinel One (含测试功能) |
× |
× |
× |
× |
|
Sophos Intercept X with EDR |
× |
× |
√ |
- |
|
Trend micro Apex One |
· |
· |
√ |
√ |
|
终端保护 |
||||
|
ESET PROTECT Enterprise |
× |
× |
√ |
√ |
|
F-Secure Elements 终端: 保护平台 |
√ |
√ |
√ |
√ |
|
Kaspersky终端安全 |
× |
× |
× |
√ |
|
McAfec 终端保护 |
× |
× |
√ |
√ |
|
Symantec 终端保护 |
√ |
× |
√ |
√ |
表:每个测试解决方案的攻击汇总结果。
符号:√:成功的攻击,◇:成功的攻击,引发了中级警报,·:成功的攻击,引发轻微警报,★: 攻击成功,发出警报,◇:攻击不成功,未发出警报,×:攻击失败,发出警报,+:在供应商提供的两个实验中,第一个实验在5小时后被检测到,第二个实验在25分钟后被检测到,⊙:最初的测试由于文件签名而被阻止,第二项测试在另一个应用程序中成功。
结果显示,在测试的EDR中,只有两个产品对所有的攻击载体都有全面的覆盖,公司的防御系统起了作用。
研究小组认为,这种情况下,EDR将面临被攻击者关闭或至少禁用其遥测功能,而防御者就会看不到受感染的系统上可能会发生的情况,这就允许威胁者准备对本地网络的进一步攻击。
但并不是所有的EDR都在这项实验中进行了测试。
研究人员去年在Huntress实验室高级安全人员John Hammond的YouTube上发表的视频中说,并不是所有的EDR供应商都同意开放他们的产品进行测试,甚至他们测试的18种产品中,有一些是在SOC和CERT团队等中介机构的帮助下完成的。而他们的研究一经上线,一些供应商就主动联系并询问有关情况以及他们可以改进其产品的方法。
联系我们索要详细报告。《针对高级持续性威胁攻击媒介的终端检测和响应系统的实证评估(An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors)》,详细了解实验方法,步骤及结论。
有效的加强防御的方案-移动目标防御技术
现有的安全防御理念,想的是怎么找到更多的漏洞,找到更多的特征,提高检测的效率。特征库可以从1G变到10G,但是对网络安全的理念是没有变化的。今天的安全模型优先考虑监控,检测,预防和修复,安全团队以静态的基础架构为基础,防御千变万化的攻击方法,严重不对称。攻击者有足够的时间研究静态基础设施和静态的防御技术。所以随着时间的增加,攻击者攻击一个目标,时间越长,攻击难度越小,获取更多架构信息,攻击经验不断累积。
移动目标防御技术是一种颠覆性的防御理念,不是优化目前的防御方式。通过不断变化攻击面,不是让终端产品没有后门,没有漏洞,而是把攻击变成概率问题。让攻击者随着攻击时间越长,难度越大,大大增加了攻击者攻击的成本,扭转了攻防不对称的局面。
虹科提供的是基于移动目标防御(Moving Target Defense)技术的终端解决方案,可以阻止绕过NGAV、EDR和EPP的勒索软件、零日,无文件攻击,内存攻击等高级攻击。我们的防御原理是:当一个应用程序加载到内存空间时,会对进程结构进行变形,使内存对攻击者来说始终是不可预测的。应用程序照常加载运行,原始框架结构会留作陷阱;攻击目标是原始框架结构,但是由于无法找到预期的和需要的资源而失败。攻击就被立即防御、捕获和记录,并带有完整的取证细节。
方案推荐
Morphisec(摩菲斯)作为移动目标防御的领导者,已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案,每天保护800多万个端点和服务器免受许多最先进的攻击。事实上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击,这些攻击是NGAV、EDR解决方案和端点保护平台(EPP)未能检测和/或阻止的。(例如,Morphisec客户的成功案例,Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下,在第零日就被阻止的此类攻击的例子包括但不限于:
勒索软件(例如,Conti、Darkside、Lockbit)
后门程序(例如,Cobalt Strike、其他内存信标)
供应链(例如,CCleaner、华硕、Kaseya payloads、iTunes)
恶意软件下载程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)
Morphisec(摩菲斯)为关键应用程序,windows和linux本地和云服务器提供解决方案,2MB大小快速部署。
免费的Guard Lite解决方案,将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取!
【最新评估报告】最先进的EDR并不完美,无法检测到常见的攻击相关推荐
- 知来路方知去处。坎坷已过,一马平川后必看的经典!——2018最新倾斜摄影建模与无人机航拍影像处理完美配置解决方案!
知来路方知去处.坎坷已过,一马平川后必看的经典!--2018最新倾斜摄影建模与无人机航拍影像处理完美配置解决方案! 知来路方知去处.来路坎坷已过,一马平川后更待继续攀登,这是测绘从业者的真实写照,也是 ...
- k3note Android8,联想乐檬K3 Note官方稳定版 最新VIBE刷机包 精简优化 完美加入Root权限...
联联想乐檬K3 Note官方稳定版 最新VIBE刷机包 精简优化 完美加入Root权限 ROM介绍: 1.基于官方最新发布的VIBEUI_V3.1_1622_5.440.1_ST_K50-T5稳定版固 ...
- voxelnet_苹果最新机器学习论文:使用VoxelNet进行3D物体检测
原标题:苹果最新机器学习论文:使用VoxelNet进行3D物体检测 原文来源:arXiv 作者:Yin Zhou.OncelTuzel 「雷克世界」编译:嗯~阿童木呀 多啦A亮 现如今,3D点云(3D ...
- design短语的用法总结_最新高中英语知识点详解之design的用法及常见短语
英语的应用越来越广泛了,我们必须好好来学习英语知识.对此小学频道编辑为大家整理了最新高中英语知识点详解之design的用法及常见短语.详情如下: design的用法 n.设计;图案;构思 vt.设计; ...
- 移动魔百盒cm211-1-zg(2+8)晶晨S905L3B芯片+最新WIFI芯片UWE5621DS,全网最完美固件
移动魔百盒cm211-1-zg(2+8)晶晨S905L3B芯片,支持最新WIFI芯片UWE5621DS并向老版本无线网卡兼容,全网目前最完美.最纯净的固件没有之一!因这款盒子配置较高价格又合理且网上搜 ...
- 本期最新 9 篇论文,帮你完美解决「读什么」的问题 | PaperDaily #19
在碎片化阅读充斥眼球的时代,越来越少的人会去关注每篇论文背后的探索和思考. 在这个栏目里,你会快速 get 每篇精选论文的亮点和痛点,时刻紧跟 AI 前沿成果. 点击本文底部的「阅读原文」即刻加入社区 ...
- 2023最新USDT理财系统源码+代码完美流畅/框架二开/功能强大
正文: 完整标题: 之前淘的一套PHP的理财源码,实测了下完美流畅,代码工整无错,UI简洁大方,有兴趣的朋友自己研究. 程序: wwegxs.lanzoux.com/ibfUk0l3c99a 图片:
- 2023最新西瓜小清新UI币圈完美源码版+对接支付/免公众号
正文: 这个东西之前火过一段时间,最近问的人多了起来,可是现在很多这种的源码都已经不能用了,这次给大家发出来的就是完美修复过的. 这个没什么难度,几分钟就可以搭建一套,不会的小白可以看视频教程,教程里 ...
- 最新微信固码免签监控系统+完美运营+完整数据+带搭建教程和APP
介绍: linux 服务器,安装好Nginx 1.16.0 mysql 5.6+ php 5.6 + 这套源码是客户花了6K从互站上面买的,搭建的话有一点难度 先去开启mysqli的配置参数先 APP ...
最新文章
- 图神经网络GNN预训练技术进展概述
- 计算机教师资格证报考科目,还在纠结报考教师资格证该选哪个科目呢?看完这篇,你不再迷茫...
- Ubuntu下串口通信之cutecom
- 【Linux】Linux统计文件夹、文件数量的命令
- java中文乱码解决之道(五)—–java是如何编码解码的
- 2007白领职场成功需要哪“十商”
- Unreal Engine 4 —— 多线程任务构建
- paip.提升用户体验---提取FLASH中图片
- 「纯正干货」教你一招解决PDF去密码
- c语言小兔子原来有1个萝卜,小兔子和小狐狸的100个睡前晚安小故事
- web性能压力测试工具材料
- 安装torch-geometric
- 基于神经网络的图像去水印/图像修复实践
- python 读取zip包中的数据
- 相关计算机犯罪的案例,案例6 计算机犯罪案例分析
- 《统计建模与R软件》第二章课后作业解题答案
- 【zxing生成二维码及解析二维码】
- 《万历十五年》读书笔记
- 打开虚拟机出现bogon login怎么整?
- 17年寒假阅读页面索引