Il ricercatore informatico Odisseus ha pubblicato dal suo profilo Twitter uno studio effettuato dal collega Vincent Van Mieghem su un potenziale quanto concreto rischio di aggirare i sistemi di difesa nativi di Windows, Defender, con l’utilizzo congiunto di alcune tecniche offensive. Non sono esclusi altri coinvolgimenti di software simili potenzialmente vulnerabili.
Un buco notevole che è spiegato dettagliatamente sul blog del ricercatore che l’ha scoperto, dove racconta:
Circa due anni fa ho smesso di essere un operatore di Red Team a tempo pieno. Tuttavia, è ancora un campo di competenza che mi sta molto a cuore. Qualche settimana fa, stavo cercando un nuovo progetto secondario e ho deciso di riprendere un mio vecchio hobby di red teaming: bypassare/evadere le soluzioni di protezione degli endpoint.
In questo post, vorrei esporre una raccolta di tecniche che insieme possono essere utilizzate per bypassare le soluzioni di protezione endpoint aziendali leader del settore. Questo è puramente a scopo educativo per red teamers (etici) e simili, quindi ho deciso di non rilasciare pubblicamente il codice sorgente. L’obiettivo di questo post è quello di essere accessibile a un vasto pubblico nel settore della sicurezza, ma non quello di scendere nei dettagli di ogni tecnica. Invece, farò riferimento a writeup di altri che si immergono in profondità meglio di me.
Nelle simulazioni avversarie, una sfida chiave nella fase di “accesso iniziale” è l’aggiramento delle capacità di rilevamento e risposta (EDR) sugli endpoint aziendali. I framework commerciali di comando e controllo forniscono shellcode e binari non modificabili all’operatore del red team che sono pesantemente firmati dall’industria della protezione degli endpoint e, al fine di eseguire quell’impianto, le firme (sia statiche che comportamentali) di quello shellcode devono essere offuscate.
In questo post, coprirò le seguenti tecniche, con l’obiettivo finale di eseguire shellcode malevolo, noto anche come (shellcode) loader:
- Crittografia dello shellcode
- Riduzione dell’entropia
- Sfuggire alla sandbox AV (locale)
- Offuscamento della tabella di importazione
- Disabilitare la tracciabilità degli eventi per Windows (ETW)
- Eludere i comuni schemi di chiamata API dannosi
- Chiamate di sistema dirette ed eludere il “marchio della syscall
- Rimozione dei ganci in ntdll.dll
- Spoofing dello stack delle chiamate di thread
- Crittografia in-memoria del beacon
- Un Payload personalizzato
- Configurazioni OpSec nel vostro profilo Malleable
E’ possibile consultare l’intero rapporto qui, FONTE: https://vanmieghem.io/blueprint-for-evading-edr-in-2022/
