Organisasi menghabiskan miliaran untuk pertahanan malware yang mudah dilewati

Getty Images / Aurich Lawson

Tahun lalu, organisasi menghabiskan $2 miliar untuk produk yang menyediakan Endpoint Detection and Response, jenis perlindungan keamanan yang relatif baru untuk mendeteksi dan memblokir malware yang menargetkan perangkat yang terhubung ke jaringan. EDR, seperti yang biasa disebut, mewakili pendekatan baru untuk deteksi malware. Analisis statis, salah satu dari dua metode tradisional lainnya, mencari tanda-tanda mencurigakan dalam DNA file itu sendiri. Analisis dinamis, metode lain yang lebih mapan, menjalankan kode tidak tepercaya di dalam “kotak pasir” yang aman untuk menganalisis apa yang dilakukannya untuk mengonfirmasi keamanannya sebelum mengizinkannya memiliki akses sistem penuh.

EDR—yang diperkirakan akan menghasilkan pendapatan sebesar $18 miliar pada tahun 2031 dan dijual oleh lusinan perusahaan keamanan—mengambil pendekatan yang sama sekali berbeda. Daripada menganalisis struktur atau eksekusi kode sebelumnya, EDR memantau perilaku kode saat berjalan di dalam mesin atau jaringan. Secara teori, ini dapat menghentikan serangan ransomware yang sedang berlangsung dengan mendeteksi bahwa proses yang dijalankan pada ratusan mesin dalam 15 menit terakhir mengenkripsi file secara massal. Tidak seperti analisis statis dan dinamis, EDR mirip dengan penjaga keamanan yang menggunakan pembelajaran mesin untuk mengawasi aktivitas di dalam mesin atau jaringan secara real time.

Organisasi menghabiskan miliaran untuk pertahanan malware yang mudah dilewati

Nohl dan Gimenez

Memperlancar penghindaran EDR

Terlepas dari desas-desus seputar EDR, penelitian baru menunjukkan bahwa perlindungan yang mereka berikan tidak terlalu sulit untuk dielakkan oleh pengembang malware yang terampil. Faktanya, para peneliti di balik studi tersebut memperkirakan penghindaran EDR hanya menambahkan satu minggu tambahan waktu pengembangan untuk infeksi khas jaringan organisasi besar. Itu karena dua teknik bypass yang cukup mendasar, terutama bila digabungkan, tampaknya bekerja pada sebagian besar EDR yang tersedia di industri.

“Penghindaran EDR didokumentasikan dengan baik, tetapi lebih sebagai kerajinan daripada sains,” Karsten Nohl, kepala ilmuwan di SRLabs yang berbasis di Berlin, menulis dalam email. “Yang baru adalah wawasan bahwa menggabungkan beberapa teknik terkenal menghasilkan malware yang menghindari semua EDR yang kami uji. Ini memungkinkan peretas untuk merampingkan upaya penghindaran EDR mereka.”

Baik aplikasi jahat maupun tidak berbahaya menggunakan pustaka kode untuk berinteraksi dengan kernel OS. Untuk melakukan ini, perpustakaan membuat panggilan langsung ke kernel. EDR bekerja dengan mengganggu aliran eksekusi normal ini. Alih-alih memanggil kernel, perpustakaan terlebih dahulu memanggil EDR, yang kemudian mengumpulkan informasi tentang program dan perilakunya. Untuk menghentikan aliran eksekusi ini, sebagian EDR menimpa pustaka dengan kode tambahan yang dikenal sebagai “kait”.

Nohl dan rekan peneliti SRLabs Jorge Gimenez menguji tiga EDR yang banyak digunakan yang dijual oleh Symantec, SentinelOne, dan Microsoft, sebuah sampel yang mereka yakini mewakili penawaran di pasar secara keseluruhan. Yang mengejutkan para peneliti, mereka menemukan bahwa ketiganya dilewati dengan menggunakan satu atau kedua dari dua teknik penghindaran yang cukup sederhana.

Teknik membidik kait yang digunakan EDR. Metode pertama membahas fungsi hook dan sebagai gantinya membuat panggilan sistem kernel langsung. Meskipun berhasil melawan ketiga EDR yang diuji, penghindaran kait ini berpotensi menimbulkan kecurigaan beberapa EDR, sehingga tidak mudah.

Organisasi menghabiskan miliaran untuk pertahanan malware yang mudah dilewati

Nohl dan Gimenez

Teknik kedua, ketika diimplementasikan dalam file pustaka tautan dinamis, juga bekerja melawan ketiga EDR. Ini melibatkan hanya menggunakan fragmen dari fungsi yang dikaitkan agar tidak memicu kait. Untuk melakukan ini, malware membuat panggilan sistem tidak langsung. (Teknik ketiga yang melibatkan fungsi pelepasan kait bekerja melawan satu EDR tetapi terlalu mencurigakan untuk menipu dua subjek tes lainnya.)

Organisasi menghabiskan miliaran untuk pertahanan malware yang mudah dilewati

Nohl dan Gimenez

Di laboratorium, para peneliti mengemas dua malware yang umum digunakan—satu bernama Cobalt Strike dan yang lainnya Silver—di dalam file .exe dan .dll menggunakan masing-masing teknik bypass. Salah satu EDRS—para peneliti tidak mengidentifikasi yang mana—gagal mendeteksi sampel apa pun. Dua EDR lainnya gagal mendeteksi sampel yang berasal dari file .dll saat mereka menggunakan salah satu teknik. Untuk ukuran yang baik, para peneliti juga menguji solusi antivirus umum.

Organisasi menghabiskan miliaran untuk pertahanan malware yang mudah dilewati

Nohl dan Gimenez

Para peneliti memperkirakan bahwa waktu dasar khas yang diperlukan untuk kompromi malware dari jaringan perusahaan atau organisasi besar adalah sekitar delapan minggu oleh tim yang terdiri dari empat ahli. Sementara penghindaran EDR diyakini memperlambat proses, pengungkapan bahwa dua teknik yang relatif sederhana dapat dengan andal melewati perlindungan ini berarti bahwa pengembang malware mungkin tidak memerlukan banyak pekerjaan tambahan seperti yang diyakini sebagian orang.

“Secara keseluruhan, EDR menambahkan sekitar 12 persen atau satu minggu upaya peretasan ketika membahayakan perusahaan besar—dinilai dari waktu eksekusi tipikal latihan tim merah,” tulis Nohl.

Para peneliti mempresentasikan temuan mereka minggu lalu di konferensi keamanan Hack in the Box di Singapura. Nohl mengatakan pembuat EDR harus fokus untuk mendeteksi perilaku jahat secara lebih umum daripada hanya memicu perilaku spesifik dari alat peretasan paling populer, seperti Cobalt Strike. Fokus berlebihan pada perilaku tertentu ini membuat penghindaran EDR “terlalu mudah bagi peretas menggunakan alat yang lebih dipesan lebih dahulu,” tulis Nohl.

“Melengkapi EDR yang lebih baik pada titik akhir, kami masih melihat potensi dalam analisis dinamis dalam kotak pasir,” tambahnya. “Ini dapat berjalan di cloud atau dilampirkan ke gateway email atau proxy web dan menyaring malware bahkan sebelum mencapai titik akhir.”

Leave a Comment