近日，安全研究員Shmuel Cohen在Black Hat Asia大會上展示了如何用逆向工程破解Palo Alto Networks的Cortex XDR安全軟件，并將其轉(zhuǎn)換為隱蔽持久的“超級惡意工具“，用于部署后門程序和勒索軟件。這一發(fā)現(xiàn)凸顯了EDR/XDR等強大安全工具的潛在風(fēng)險，也為網(wǎng)絡(luò)安全防御敲響了警鐘。

XDR（Extended Detection and Response）是一種集成了威脅檢測、調(diào)查和響應(yīng)功能的安全解決方案，能夠為企業(yè)提供全面的安全防護。然而，強大的功能也伴隨著潛在的風(fēng)險。Shmuel Cohen的研究表明，EDR/XDR本身也可能成為攻擊者的目標(biāo)，被用來實施惡意攻擊。

Cohen通過逆向工程和分析Cortex XDR軟件，發(fā)現(xiàn)了一些可以被利用的漏洞。他利用這些漏洞，成功地繞過了Cortex XDR的安全機制（包括機器學(xué)習(xí)檢測模塊、行為模塊規(guī)避、實時預(yù)防規(guī)則以及防止文件篡改的過濾驅(qū)動程序保護）。

具體來說，Cohen做到以下幾件事：

• 修改了XDR的安全規(guī)則，使其無法檢測到他的惡意活動。
• 部署了后門程序，使他能遠程控制受感染的計算機。
• 植入了勒索軟件，向受害者索取贖金。
• 敏感用戶賬號泄露
• 在系統(tǒng)中長期駐留（無法從管理界面遠程刪除）
• 整機加密（FUD）
• 完整的LSASS內(nèi)存轉(zhuǎn)儲
• 隱藏惡意活動通知
• 繞過XDR管理員密碼
• 全面利用XDR實施攻擊

Cohen指出，雖然Palo Alto Networks與其合作修復(fù)了漏洞并發(fā)布補丁程序，但其他XDR平臺也很可能存在類似的漏洞，容易受到攻擊。

Cohen的攻擊證明，即使是像Palo Alto Cortex XDR這樣的知名安全軟件也并非絕對安全。

安全專家指出，用戶部署使用功能強大的安全工具時，不可避免地存在“魔鬼交易“：為了讓這些安全工具完成工作，必須授予它們高級權(quán)限來訪問系統(tǒng)中的每個角落。

例如，為了跨IT系統(tǒng)執(zhí)行實時監(jiān)控和威脅檢測，XDR需要盡可能高的權(quán)限，訪問非常敏感的信息，而且啟動時不能被輕易刪除。

這意味著一旦攻擊者能夠利用安全軟件的漏洞，就可將其變成殺傷力極大的攻擊武器。因此，企業(yè)在部署EDR/XDR等安全解決方案時，需要提高警惕，加強安全管理，并定期進行安全評估和漏洞修復(fù)。