Uvod

V nenehno razvijajočem se področju kibernetske varnosti imajo rešitve za zaznavanje in odzivanje na napade na končnih točkah (EDR), kot je SentinelOne, ključno vlogo pri obrambi pred naprednimi grožnjami. Vendar napadalci nenehno razvijajo nove metode za obvoz teh varnostnih rešitev. Namen tega prispevka je osvetliti eno izmed takšnih tehnik ter poudariti pomen razumevanja metodologij napadalcev za utrditev obrambe.

Pregled napada: Izpis hash-ov z orodjem Mimikatz

Izpis hash-ov je pogosta tehnika po izkoriščanju ranljivosti, ki jo napadalci uporabljajo za pridobivanje višjih privilegijev ali za lateralno premikanje znotraj omrežja. Orodja, kot je Mimikatz, so se pogosto uporabljala v ta namen, kljub napredku EDR rešitev, kot je SentinelOne.

Ključna ideja: Napadalci lahko uporabijo Mimikatz za pridobivanje poverilnic tudi v okoljih, kjer delujejo EDR orodja. Vendar pa imajo sodobni EDR-ji vgrajene zmožnosti za vedenjsko analizo in pregledovanje pomnilnika, ki lahko zaznajo takšne poskuse.

Tehnike izogibanja EDR zaščiti

V tem testu sem uporabil naslednje metode za izogibanje EDR-ju:

1. AES-enkripcija orodja Mimikatz: Zaradi enkripcije EDR ni prepoznal znanih vzorcev ob zagonu orodja.
2. Obvod nadzora EDR: V določenem trenutku sem opazil, da EDR ni reagiral na sumljivo vedenje, kar kaže na uspešno obvodno tehniko.

Zaključek

Razumevanje, kako delujejo napadalci, je prvi korak k izgradnji robustne obrambe. Čeprav ta študija primera poudarja izzive, ki jih predstavljajo napredne tehnike izogibanja, hkrati opozarja na pomen večplastne varnosti, rednega posodabljanja varnostnih rešitev in vzpostavitve proaktivne varnostne kulture.

Z odgovornim deljenjem znanja lahko skupaj dvignemo raven kibernetske varnosti in otežimo delo zlonamernim akterjem.