Se descubrió una técnica de ataque sofisticada donde los ciberdelincuentes explotan las pruebas gratuitas de software de detección y respuesta de punto final (EDR) para deshabilitar las protecciones de seguridad existentes en sistemas comprometidos.
Este método, denominado BYOEDR (traiga su propio EDR), representa una evolución preocupante en las tácticas de evasión de defensa que aprovechan las herramientas de seguridad legítimas como armas contra sí mismas.
Control de llave
1. Los atacantes usan pruebas EDR gratuitas para deshabilitar las herramientas de seguridad existentes.
2. La técnica (BYOEDR) es fácil, efectiva y omite las protecciones.
3. Los defensores deben restringir las instalaciones no autorizadas y mejorar la validación.
Explotar programas de prueba EDR
La técnica de ataque fue identificada por primera vez por los investigadores Mike Manrod y Ezra Woods, quienes descubrieron que los actores de amenaza pueden obtener pruebas gratuitas de productos EDR y usarlos para neutralizar soluciones de seguridad competidores ya implementadas en los sistemas objetivo.
En sus pruebas, demostraron cómo Cisco Secure Endpoint (AMP) podría instalarse y configurar con éxito para deshabilitar tanto el Falcon CrowdStrike como el elástico defender sin activar alertas o generar telemetría más allá del host y no salir.
Según Mike Manrod y Ezra Woods, el proceso técnico imponer Varios pasos críticos que explotan las capacidades administrativas de EDR. Después de obtener privilegios de administrador local, los atacantes se registran para pruebas de EDR gratuitas, descargue el instalador de agentes e impleméntelo en el sistema de destino.
Luego navegan a la sección Management> Políticas de la consola EDR, acceden a la política de “Proteger” para Windows y eliminan sistemáticamente todas las exclusiones de la pestaña Exclusiones.
El paso final implica identificar el hash SHA256 del proceso EDR de destino y agregarlo a la “lista de aplicaciones bloqueada” a través de la interfaz de aplicación bloqueada de Brote Brote.
Lo que hace que esta técnica sea particularmente peligrosa es su capacidad para evitar mecanismos de protección de manipulación que generalmente evitan la modificación no autorizada del software de seguridad.
A diferencia de los métodos de evasión más complejos, como BYOVD (traiga su propio controlador vulnerable) o técnicas de DLL-no vacía, BYOEDR presenta un enfoque de complejidad más bajo mientras mantiene una alta efectividad.
Mitigaciones
Este método de ataque surge en un contexto de abuso de RMM (gestión y monitoreo remoto) crecientes, con el informe de caza de amenazas de crowdstrike 2024 que indica un aumento de 70% año tras año en tales actividades.
La legitimidad de las herramientas EDR los hace particularmente efectivos para fines maliciosos, ya que poseen certificados válidos y un estado de confianza que reduce la probabilidad de detección.
Los expertos en seguridad recomiendan implementar medidas de control de aplicaciones, IOA personalizados (indicadores de ataque) y firewalls conscientes de la aplicación para bloquear las instalaciones no autorizadas de RMM y EDR.
Además, las prácticas de seguridad fundamentales, incluida la segmentación de red adecuada, el endurecimiento del host, el parche regular y la limitación de los privilegios de administradores locales, siguen siendo defensas cruciales.
El equipo de investigación ha pedido a los proveedores de EDR que fortalezcan los procesos de validación para pruebas gratuitas e implementen salvaguardas que impiden el secuestro de agentes entre diferentes inquilinos del mismo producto.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
