Как работает система Cortex XDR от Palo Alto Networks?

Как работает система Cortex XDR от Palo Alto Networks?
056cd7d0bb7b683bdaea5435170893bb.jpg

Система Cortex XDR – это платформа обнаружения и реагирования на угрозы с обширным покрытием – от защиты конечных точек до сетевой и облачной защиты. Система Cortex XDR обеспечивает аналитическую защиту от атак обхода UAC. Платформа предотвращает угрозы на конечных точках и координирует принудительное применение сетевой и облачной безопасности для предотвращения успешных кибератак с помощью поведенческих предсказательных механизмов.
Чтобы предотвратить использование обходов UAC, модули защиты от поведенческих угроз (Behavioral Threat Protection) и защиты локального анализа (Local Analysis Protection) в Cortex XDR отслеживают вредоносное поведение в последовательности событий и немедленно прекращают атаку при обнаружении. Таким образом исследователями Palo Alto Networks и была обнаружена уязвимость службы User Account Control в полностью пропатченной ОС Windows 10.
Служба User Account Control контролирует запросы на повышение привилегий в системе и позволяет ограничивать административные права при запуске приложений. По своей основной функции она похожа на sudo в Linux системах. Но некоторые приложения могут получать повышение привилегии без непосредственного запроса пользователя, и таким образом достигать обхода UAC. Это работает через чрезмерную загрузку DLL Windows Side-By-Side (WinSxS), автоматическое использование папки «.local» и процедуры IFileOperation в COM-объектах. В системе часто не существует папки «.local», и злоумышленник может создать ее и целевую вредоносную DLL библиотеку для запуска нужного файла с повышением прав – это разновидность атаки перехвата DLL или DLL Hijack. Создать папку и переместить DLL без каких-либо прав злоумышленник может благодаря COM-объекту с повышением привилегий IFileOperation.
Перечень системных файлов, позволяющих выполнить таким образом автоматическое повышение привилегий, довольно обширный и включает, но не ограничивается:
wusa.exe, Taskmgr.exe, SystemSettingsRemoveDevice.exe, shrpubw.exe, recdisc.exe, pwcreator.exe, odbcad32.exe, MultiDigiMon.exe, MSchedExe.exe, lpksetup.exe, iscsicpl.exe, fodhelper.exe, dccw.exe, msconfig.exe, CompMgmtLauncher.exe.
Эффективно детектировать и блокировать подобные опасные действия можно только через движок поведенческого анализа ПО в системе и, в частности, анализа запросов на повышение привилегий от приложений в ОС. Сопоставив подозрительные действия на узле с другими событиями в инфраструктуре, можно сделать выводы о попытках целенаправленных атак.
Команда экспертов Angara Professional Assistance обладает всеми необходимыми компетенциями и опытом для успешного внедрения и сопровождения данной системы. Доступна возможность пилотных внедрений с тестовым периодом, по всем вопросам можно обратиться к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group