L’anno scorso le aziende hanno speso 2 miliardi di dollari in prodotti che forniscono Endpoint Detection and Response, un tipo di protezione relativamente nuovo per rilevare e bloccare le minacce informatiche che colpiscono i dispositivi connessi alla rete. Gli EDR, come vengono comunemente chiamati, rappresentano un approccio più recente al rilevamento del malware. L’analisi statica, uno dei due metodi più tradizionali, cerca segni sospetti nel DNA del file stesso. L’analisi dinamica, l’altro metodo più consolidato, esegue codice non attendibile all’interno di una “sandbox” protetta per analizzarne le azioni e confermarne la sicurezza prima di consentirgli l’accesso completo al sistema.
Gli EDR, che si prevede genereranno un fatturato di 18 miliardi di dollari entro il 2031 e sono venduti da decine di aziende di sicurezza, adottano un approccio completamente diverso. Piuttosto che analizzare la struttura o l’esecuzione del codice in anticipo, gli EDR monitorano il comportamento del codice mentre viene eseguito all’interno di una macchina o di una rete. In teoria, possono bloccare un attacco ransomware in corso rilevando che un processo eseguito su centinaia di macchine negli ultimi 15 minuti sta criptando file in massa. A differenza delle analisi statiche e dinamiche, l’EDR è simile a una guardia di sicurezza che utilizza l’apprendimento automatico per tenere sotto controllo in tempo reale le attività all’interno di una macchina o di una rete.
Nonostante il clamore che circonda gli EDR, una nuova ricerca suggerisce che la protezione che forniscono non è poi così difficile da aggirare per gli sviluppatori di malware esperti. Infatti, i ricercatori che hanno condotto lo studio stimano che l’elusione dell’EDR aggiunga solo una settimana in più di tempo di sviluppo alla tipica infezione di una rete aziendale di grandi dimensioni. Questo perché due tecniche di aggiramento piuttosto elementari, soprattutto se combinate, sembrano funzionare sulla maggior parte degli EDR disponibili nel settore.
“L’elusione degli EDR è ben documentata, ma è più un’arte che una scienza”, ha scritto in un’e-mail Karsten Nohl, scienziato capo di SRLabs, con sede a Berlino. “La novità è che combinando diverse tecniche note si ottiene un malware che elude tutti gli EDR che abbiamo testato. Questo permette agli hacker di ottimizzare i loro sforzi di elusione degli EDR”.
Sia le applicazioni dannose che quelle benigne utilizzano librerie di codice per interagire con il kernel del sistema operativo. A tal fine, le librerie effettuano una chiamata direttamente al kernel. Gli EDR funzionano interrompendo questo normale flusso di esecuzione. Invece di chiamare il kernel, la libreria chiama prima l’EDR, che raccoglie informazioni sul programma e sul suo comportamento. Per interrompere questo flusso di esecuzione, gli EDR sovrascrivono in parte le librerie con codice aggiuntivo noto come “hook”.
Nohl e il collega Jorge Gimenez, ricercatore di SRLabs, hanno testato tre EDR molto diffusi venduti da Symantec, SentinelOne e Microsoft, un campione che ritengono rappresenti adeguatamente l’offerta del mercato nel suo complesso. Con sorpresa, i ricercatori hanno scoperto che tutti e tre sono stati aggirati utilizzando una o entrambe le tecniche di elusione piuttosto semplici.
Le tecniche prendono di mira i ganci utilizzati dagli EDR. Il primo metodo aggira la funzione di hook ed effettua invece chiamate di sistema dirette al kernel. Pur avendo avuto successo contro tutti e tre gli EDR testati, questa tecnica di elusione degli hook può potenzialmente destare i sospetti di alcuni EDR, quindi non è infallibile.
Anche la seconda tecnica, implementata in un file di libreria di collegamento dinamico, ha funzionato contro tutti e tre gli EDR. Si tratta di utilizzare solo frammenti delle funzioni agganciate per evitare di innescare gli agganci. A tal fine, il malware effettua chiamate di sistema indirette. (Una terza tecnica che prevede lo sganciamento delle funzioni ha funzionato contro un EDR, ma era troppo sospetta per ingannare gli altri due soggetti del test).
In laboratorio, i ricercatori hanno inserito due malware comunemente utilizzati, uno chiamato Cobalt Strike e l’altro Silver, all’interno di un file .exe e .dll, utilizzando ciascuna tecnica di aggiramento. Uno degli EDR – i ricercatori non hanno identificato quale – non è riuscito a rilevare nessuno dei campioni. Gli altri due EDR non sono riusciti a rilevare i campioni provenienti dal file .dll quando hanno utilizzato entrambe le tecniche. Per misurare la situazione, i ricercatori hanno anche testato una comune soluzione antivirus.
I ricercatori hanno stimato che il tempo di base tipico richiesto per la compromissione con malware di una grande rete aziendale o organizzativa è di circa otto settimane da parte di un team di quattro esperti. Sebbene si ritenga che l’elusione dell’EDR rallenti il processo, la rivelazione che due tecniche relativamente semplici possono aggirare in modo affidabile questa protezione significa che gli sviluppatori di malware potrebbero non richiedere molto lavoro aggiuntivo come alcuni potrebbero credere.
“A complemento di migliori EDR sugli endpoint, vediamo ancora un potenziale nell’analisi dinamica all’interno delle sandbox”, ha aggiunto. “Queste possono essere eseguite nel cloud o collegate ai gateway di posta elettronica o ai proxy web e filtrare il malware prima ancora che raggiunga l’endpoint”.
