Στον συνεχώς εξελισσόμενο κόσμο της κυβερνοασφάλειας, μια νέα και ανησυχητική τακτική έχει έρθει στο φως, όπου οι επιτιθέμενοι μετατρέπουν τα εργαλεία που έχουν σχεδιαστεί για την προστασία των συστημάτων σε όπλα. Μια εξελιγμένη τεχνική επίθεσης αποκαλύφθηκε, κατά την οποία οι κυβερνοεγκληματίες εκμεταλλεύονται τις δωρεάν δοκιμές του λογισμικού Ανίχνευσης και Απόκρισης Τελικού Σημείου (EDR) για να απενεργοποιήσουν τις υπάρχουσες προστασίες ασφαλείας σε παραβιασμένα συστήματα. Αυτή η μέθοδος, που ονομάστηκε "BYOEDR" (Bring Your Own EDR), σηματοδοτεί μια σημαντική εξέλιξη στις τακτικές αποφυγής της άμυνας.
Η ανακάλυψη αυτή, που έγινε από τους ερευνητές ασφαλείας Mike Manrod και Ezra Woods, αποκαλύπτει πώς οι δράστες απειλών μπορούν να αποκτήσουν νόμιμες δωρεάν δοκιμαστικές εκδόσεις λύσεων EDR και να τις χρησιμοποιήσουν για να εξουδετερώσουν συστηματικά ανταγωνιστικά προϊόντα ασφαλείας που είναι ήδη εγκατεστημένα σε στοχευμένα συστήματα. Η έρευνά τους έδειξε ότι το Cisco Secure Endpoint (AMP) θα μπορούσε να εγκατασταθεί και να ρυθμιστεί με επιτυχία για να απενεργοποιήσει τόσο το CrowdStrike Falcon όσο και το Elastic Defend χωρίς να προκαλέσει ειδοποιήσεις ή να δημιουργήσει τηλεμετρία πέρα από το ότι ο κεντρικός υπολογιστής φαινόταν εκτός σύνδεσης.
Η μεθοδολογία επίθεσης απαιτεί από τον εισβολέα να έχει ήδη αποκτήσει δικαιώματα τοπικού διαχειριστή στο σύστημα-στόχο. Η διαδικασία περιλαμβάνει διάφορα κρίσιμα βήματα. Οι επιτιθέμενοι εγγράφονται για δωρεάν δοκιμές EDR, κατεβάζουν το πρόγραμμα εγκατάστασης του πράκτορα και το αναπτύσσουν στο στοχευμένο σύστημα. Στη συνέχεια, πλοηγούνται στην κονσόλα διαχείρισης του νέου EDR, αφαιρούν όλες τις υπάρχουσες εξαιρέσεις από την πολιτική ασφαλείας και προσδιορίζουν το hash SHA256 της διαδικασίας του υπάρχοντος EDR που θέλουν να στοχεύσουν. Τέλος, προσθέτουν αυτό το hash στη «Λίστα Αποκλεισμένων Εφαρμογών», μετατρέποντας ουσιαστικά το ένα εργαλείο ασφαλείας σε όπλο εναντίον ενός άλλου.
Αυτό που καθιστά αυτή την τεχνική ιδιαίτερα επικίνδυνη είναι η ικανότητά της να παρακάμπτει τους μηχανισμούς προστασίας από παραποίηση που συνήθως εμποδίζουν τη μη εξουσιοδοτημένη τροποποίηση του λογισμικού ασφαλείας. Σε σύγκριση με πιο πολύπλοκες τεχνικές αποφυγής, όπως οι επιθέσεις Bring Your Own Vulnerable Driver (BYOVD), το BYOEDR είναι σημαντικά απλούστερο στην εκτέλεση, ενώ επιτυγχάνει εξαιρετικά αποτελεσματικά αποτελέσματα. Η ελκυστικότητα της χρήσης νόμιμων εργαλείων όπως τα EDR για τους επιτιθέμενους έγκειται στην εγγενή τους αξιοπιστία. Αυτά τα εργαλεία είναι αξιόπιστα, σωστά υπογεγραμμένα με έγκυρα πιστοποιητικά και πολύ λιγότερο πιθανό να προκαλέσουν ειδοποιήσεις ασφαλείας σε σύγκριση με το παραδοσιακό κακόβουλο λογισμικό.
Για την καταπολέμηση των επιθέσεων BYOEDR, οι ειδικοί ασφαλείας συνιστούν την εφαρμογή πολλαπλών επιπέδων άμυνας. Οι πολιτικές ελέγχου εφαρμογών θα πρέπει να αποκλείουν ρητά τις μη εξουσιοδοτημένες εγκαταστάσεις EDR και RMM, ενώ οι προσαρμοσμένοι Δείκτες Επίθεσης (IOA) μπορούν να ανιχνεύσουν ασυνήθιστα μοτίβα ανάπτυξης λογισμικού ασφαλείας. Οι προστασίες σε επίπεδο δικτύου μέσω τειχών προστασίας με επίγνωση εφαρμογών και Ασφαλών Πυλών Ιστού (SWG) μπορούν να αποτρέψουν μη εξουσιοδοτημένες λήψεις εργαλείων ασφαλείας που δεν έχουν εγκριθεί για εταιρική χρήση.
Επιπλέον, οι θεμελιώδεις πρακτικές υγιεινής ασφαλείας παραμένουν κρίσιμες. Αυτές περιλαμβάνουν τη σωστή τμηματοποίηση του δικτύου, τη σκλήρυνση των κεντρικών υπολογιστών, την τακτική εφαρμογή ενημερώσεων κώδικα και τον περιορισμό των προνομίων τοπικού διαχειριστή. Οι ερευνητές κάλεσαν επίσης τους προμηθευτές EDR να ενισχύσουν τις διαδικασίες επικύρωσης για τις δωρεάν δοκιμές και να εφαρμόσουν διασφαλίσεις που αποτρέπουν την κατάληψη πρακτόρων μεταξύ διαφορετικών ενοικιαστών του ίδιου προϊόντος. Αυτά τα μέτρα μειώνουν συλλογικά την επιφάνεια επίθεσης και καθιστούν πιο δύσκολη την αρχική παραβίαση.