Wie EDR EDR aushebelt

Cybersicherheitsforscher haben einen unheilvollen neuen Angriffsvektor entdeckt. Dabei könnten Angreifer kostenlose Testversionen von Endpoint Detection and Response (EDR)-Software dazu missbrauchen, vorhandene Sicherheits-Tools zu deaktivieren. Die Researcher Ezra Woods und Mike Manrod haben das Phänomen entdeckt und dokumentiert, das sie als “EDR-on-EDR Violence” bezeichnen. Ihre Erkenntnisse haben die Sicherheitsexperten in einem Beitrag auf Medium veröffentlicht.

“Zusammenfassend lässt sich sagen, dass EDR/AV-Produkte dazu verwendet werden können, vorhandene Tools zu deaktivieren oder zu blockieren, Devices fernzusteuern. Oder, wie wir in einem Fall festgestellt haben, sogar die gesamte Festplatte zu verschlüsseln”, konstatieren die Forscher. Der neu entdeckte Angriffsvektor mit ironischem Nachgeschmack macht sich eine wenig hinterfragte Grundannahme im Security-Bereich zunutze. Nämlich, dass legitime Security-Tools stets vertrauenswürdig sind. 

EDR killt EDR?

Laut den Forschern könnten Angreifer kostenlose Testversionen von EDR-Produkten mit lokalen Administratorrechten auf kompromittierten Systemen installieren und diese dann so konfigurieren, dass sie vorhandene Sicherheits-Tools blockieren. Im Rahmen ihrer Untersuchungen konnten Woods und Manrod auf diese Art und Weise Cisco Secure Endpoint, CrowdStrike Falcon und Elastic Defend erfolgreich deaktivieren. Und zwar ohne dabei Warnmeldungen oder Telemetriedaten von den angegriffenen Systemen zu generieren: Die so kompromittierten Endpunkte erschienen einfach als offline, wie dem Medium-Beitrag zu entnehmen ist. Die Software, die für den Angriff missbraucht wird, verfügt dabei über gültige digitale Zertifikate und wird als legitim erkannt – ist also nur schwer von tatsächlich autorisierten Installationen zu unterscheiden. In der Unternehmenspraxis würden Security-Teams mit hoher Wahrscheinlichkeit nicht erkennen, dass die Schutzmaßnahmen absichtlich sabotiert wurden.

“Das lässt sich bewerkstelligen, indem Exclusions entfernt werden und dann der Hash des existierenden AV/EDR-Produkts zur Liste blockierter Anwendungen hinzugefügt wird”, erklären die Forscher in ihrer Analyse. EDR-Produkte mit Remote-Monitoring- und -Management-Funktionalitäten eröffneten laut Woods und Manrod ein besonders breites Spektrum an Missbrauchsmöglichkeiten. So war es den Forschern etwa im Zusammenspiel mit dem EDR-Produkt von ESET möglich, eine kompromittierte Instanz zu installieren und darüber die Festplatte des Zielsystems vollständig zu verschlüsseln.

“Was diesen Angriffsvektor so interessant macht, ist, dass er zumindest einige Produkte deaktivieren kann, selbst wenn der Manipulationsschutz aktiviert ist”, schreiben die Forscher. Sie weisen darauf hin, dass der Angriff zwar lokale Administratorrechte erfordere – im Vergleich zu herkömmlichen EDR-Umgehungstechniken wie BYOVD (Bring Your Own Vulnerable Driver) oder DLL-Unhooking stelle er jedoch einen weniger komplexen Ansatz dar.

Unternehmen, die sich gegen diesen Angriffsvektor absichern möchten, raten die Sicherheitsforscher dazu:

• Lösungen zur Anwendungskontrollle einzusetzen, um die Installation nicht autorisierter Sicherheitssoftware zu blockieren,
• benutzerdefinierte Angriffsindikatoren zu implementieren, um verdächtige EDR-Installationen zu erkennen, und
• “Application-aware” Firewalls und Secure Web Gateways zu nutzen, um den Zugriff auf nicht autorisierte Portale von Sicherheitsanbietern zu verhindern.

Woods und Manrod teilen in ihrem Medium-Beitrag auch eine detaillierte Anleitung, um Sicherheitsteams und -experten zu ermöglichen, ihre Erkenntnisse zu replizieren, zu testen und den Angriffsvektor besser zu durchdringen. Dabei empfehlen sie, kontrollierte Tests mit isolierten Systemen durchzuführen. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.