Category: EDR/XDR Testiranje

  • Zaščiten sistem… ali res? Preizkus napada na moderni Sophos XDR (27.01.2023)

    Zaščiten sistem… ali res? Preizkus napada na moderni Sophos XDR (27.01.2023)

    Zaščiten sistem… ali res? Preizkus napada na moderni Sophos XDR (27.01.2023)

    Uvod

    Kljub naprednim funkcijam razširjenega zaznavanja in odzivanja (XDR) rešitev, kot je Sophos XDR, napadalci še vedno iščejo poti, kako obiti obrambo in izvesti svoje napade. V tem prispevku predstavljam preizkus varnosti, kjer sem uspel izvesti simulacijo ransomware napada in zakriptirati testne datoteke, ne da bi Sophos XDR pravočasno zaznal ali blokiral aktivnost.

    Pregled napada: Zagon ransomware napada kljub zaščiti Sophos XDR

    Cilj testa je bil preveriti, ali lahko napreden napadalec zaobide zaznavanje Sophos XDR in izvede napad, pri katerem pride do šifriranja datotek – torej klasičnega vedenja ransomwareja.

    V tem varnostnem preizkusu sem uporabil lastno prilagojeno različico ransomware simulacije, ki je uspešno izvedla šifriranje testnih datotek, pri čemer Sophos XDR ni pravočasno zaznal grožnje ali sprožil zaščitnega ukrepa.

    Tehnike zaobida in uspešnega napada

    Pri simulaciji sem uporabil naslednje tehnike:

    • Diskretna dostava in izvedba: Datoteka z ransomware kodo je bila prenešena na sistem z uporabo orodja, ki je posnemalo legitimno delovanje, kar je zmanjšalo verjetnost sprožitve varnostnih opozoril.
    • Postopno šifriranje: Šifriranje datotek je potekalo počasneje in segmentirano, kar je preprečilo sprožitev vedenjskih opozoril Sophos XDR.

    Rezultat: Vse testne datoteke so bile uspešno zakriptirane, brez takojšnje zaznave ali zaustavitve procesa s strani Sophos XDR.

    Zaznava in priporočeni ukrepi

    Predlogi za izboljšanje zaščite:

    • Izboljšanje vedenjske analize: Sophos XDR bi moral zaznavati postopno šifriranje ali sumljive IO operacije tudi pri novih (nepodpisanih) binarnih datotekah.
    • Uvedba nadzora nad neznanimi aplikacijami: Dodatne varnostne politike, kot je nadzor izvajanja neznanih binarnih datotek, bi lahko preprečile izvedbo napada.
    • Uvedba honeypot datotek: Implementacija sistemskih vabečih (honeypot) datotek bi lahko omogočila zgodnjo zaznavo ransomware obnašanja.
    • Napredna segmentacija in pravice dostopa: Šifriranje testnih datotek bi lahko bilo omejeno z bolj strogim nadzorom dostopa in nadzora nad pravicami pisanja.

    Zaključek

    Ta test dokazuje, da tudi napredne varnostne rešitve, kot je Sophos XDR, niso neprepustne za kreativne in prilagojene napade. Ključno sporočilo je jasno: varnost ne sme temeljiti le na enem orodju, temveč na večplastnem, proaktivnem in neprekinjeno izboljševanem varnostnem modelu.

    Z deljenjem teh spoznanj želimo spodbuditi varnostne strokovnjake, da redno preizkušajo svoje obrambne sisteme in implementirajo rešitve, ki upoštevajo tudi manj očitne metode napadalcev.

    Omejitev odgovornosti

    Problem je bil javljen na Sophos in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je Sophos, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.

  • Cynet XDR Bypass – 08.12.2024: Ko mislite, da ste varni – Pa niste!

    Cynet XDR Bypass – 08.12.2024: Ko mislite, da ste varni – Pa niste!

    Cynet XDR Bypass – 08.12.2024: Ko mislite, da ste varni – Pa niste!

    V svetu kibernetske varnosti si proizvajalci varnostnih rešitev neprestano prizadevajo za odkrivanje in blokiranje orodij, kot je Mimikatz – eno najbolj znanih orodij za pridobivanje poverilnic v sistemih Windows. Toda kot v vsakem kibernetskem “orožju proti ščitu”, tudi tukaj obstajajo poti mimo obrambnih mehanizmov.

    Na dan 8. 12. 2024 sem uspel izvesti uspešen bypass Cynet XDR rešitve in zagnati Mimikatz na končni napravi, brez sproženega opozorila, alarma ali blokade.

    Kontekst

    Cynet je dobro poznana platforma za zaznavanje in odzivanje na grožnje (XDR), ki obljublja zaznavo poskusov kraje poverilnic, kot jih izvaja Mimikatz. Njihov agent analizira vedenjske vzorce, z namenom zaznati nenavadne in zlonamerne aktivnosti v realnem času.

    Toda varnostne rešitve se večinoma zanašajo na znane vzorce, hash-e, povezane IOCs, ali vedenjske signale. Če napadalec razume, kako varnostna rešitev zaznava nevarnost, lahko potencialno razvije način, da jo obide.

    Pristop

    Uporabil sem napredne tehnike obfuskacije z modifikacijo Mimikatz izvlečene kode:

    1. Analiza Cynet-ovega delovanja:
      • Spremljal sem procese, katere Cynet aktivno nadzira.
      • Ocenil sem metode, ki jih uporablja za detekcijo (npr. lsass dostop, OpenProcess, ReadProcessMemory).
    2. Preoblikovanje Mimikatz:
      • Prevedel sem izvorno kodo z izločenimi poznanimi IOCs.
      • Vključil sem runtime obfuscation – imena funkcij in nizov sem šifriral in dešifriral šele ob izvajanju.

    Rezultat

    Po uspešni izvedbi napada:

    • Cynet ni sprožil nobenega alarma.
    • Ni bilo zaznane nenavadne aktivnosti v konzoli upravljanja.

    To sem preveril s spremljanjem:

    • Event logov
    • Cynet XDR nadzorne plošče

    Kaj to pomeni za organizacije?

    Uspešen bypass takšne rešitve kaže na naslednje ključne izzive:

    • Zanašanje izključno na EDR/XDR ni dovolj – defense-in-depth pristop ostaja ključen.
    • Redno testiranje varnostnih rešitev z napadalnim razmišljanjem (red teaming) je nujno.
    • Behavioral detekcija mora biti dopolnjena s heuristiko in kontekstom – ne zgolj znanimi vzorci.

    Zaključek

    Ta eksperiment ni bil le tehničen izziv, temveč dokaz, da tudi najbolj moderne varnostne rešitve niso nezlomljive. Znanje napadalca, razumevanje notranjih mehanizmov EDR/XDR, in kreativnost so ključni za uspešen bypass.

    Zato nikoli ne pozabite – orodja ne zavarujejo sistema, ljudje in postopki ga.

    Zavrnitev odgovornosti

    Problem je bil javljen na Cynet in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je Cynet, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.

  • EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023)

    EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023)

    EDR SentinelOne pod drobnogledom: Mimikatz v realnem okolju (23.03.2023)

    Uvod

    V nenehno razvijajočem se področju kibernetske varnosti imajo rešitve za zaznavanje in odzivanje na napade na končnih točkah (EDR), kot je SentinelOne, ključno vlogo pri obrambi pred naprednimi grožnjami. Vendar napadalci nenehno razvijajo nove metode za obvoz teh varnostnih rešitev. Namen tega prispevka je osvetliti eno izmed takšnih tehnik ter poudariti pomen razumevanja metodologij napadalcev za utrditev obrambe.

    Pregled napada: Izpis hash-ov z orodjem Mimikatz

    Izpis hash-ov je pogosta tehnika po izkoriščanju ranljivosti, ki jo napadalci uporabljajo za pridobivanje višjih privilegijev ali za lateralno premikanje znotraj omrežja. Orodja, kot je Mimikatz, so se pogosto uporabljala v ta namen, kljub napredku EDR rešitev, kot je SentinelOne.

    Ključna ideja: Napadalci lahko uporabijo Mimikatz za pridobivanje poverilnic tudi v okoljih, kjer delujejo EDR orodja. Vendar pa imajo sodobni EDR-ji vgrajene zmožnosti za vedenjsko analizo in pregledovanje pomnilnika, ki lahko zaznajo takšne poskuse.

    V mojem primeru sem uporabil AES enkriptirano verzijo Mimikatza, ki sem jo vpeljal v sistem z namenom testiranja varnosti. Z omenjeno tehniko sem uspel izvesti izpis poverilnic, ne da bi bil zaznan ali blokiran s strani SentinelOne EDR-ja.

    Tehnike izogibanja EDR zaščiti

    V tem testu sem uporabil naslednje metode za izogibanje EDR-ju:

    1. AES-enkripcija orodja Mimikatz: Zaradi enkripcije EDR ni prepoznal znanih vzorcev ob zagonu orodja.
    2. Obvod nadzora EDR: V določenem trenutku sem opazil, da EDR ni reagiral na sumljivo vedenje, kar kaže na uspešno obvodno tehniko.

    Zaključek

    Razumevanje, kako delujejo napadalci, je prvi korak k izgradnji robustne obrambe. Čeprav ta študija primera poudarja izzive, ki jih predstavljajo napredne tehnike izogibanja, hkrati opozarja na pomen večplastne varnosti, rednega posodabljanja varnostnih rešitev in vzpostavitve proaktivne varnostne kulture.

    Z odgovornim deljenjem znanja lahko skupaj dvignemo raven kibernetske varnosti in otežimo delo zlonamernim akterjem.

    Omejitev odgovornosti

    Problem je bil javljen na SentinelOne in vrjetno tudi odpravljen. Ob tem želim poudariti, da so vsi postopki, opisani v tem blogu, izvedeni izključno v raziskovalne in učne namene. Obvod ali napad na varnostne sisteme, kot je SentinelOne, brez dovoljenja in v skladu z zakoni je nezakonit in neetičen. Moje dejavnosti niso bile usmerjene v škodovanje, temveč v razumevanje, kako se lahko izboljša varnost in zaščita pred napadi v realnem okolju.