为了避免受害企业组织察觉异状,导致攻击行动东窗事发,骇客无不设法回避资安系统的侦测,其中,在端点电脑当中,他们集中针对EDR系统而来,最常见的方式就是利用名为自带驱动程式(BYOVD)的手法。
但最近保险业者怡安(Aon)发现一种相当特别的手法,骇客利用EDR本机安装程式在更新电脑元件的过程里,会停用相关服务的机制而得逞,是否会有其他人马效仿有待观察。
【攻击与威胁】
为了让攻击行动能顺利进行,不被受害企业组织察觉异状,骇客通常会试图左右防毒软体及EDR系统的运作来达到目的,其中一种最常见的手法,是利用存在弱点的旧版驱动程式来进行,这种手法被称为自带驱动程式(BYOVD),如今骇客自行携带合法档案的做法出现了变化。
保险业者怡安(Aon)旗下的事件回应服务团队Stroz Friedberg近期观察到一种运用于实际攻击行动的新手法,骇客为了回避SentinelOne端点代理程式的系统侦测与防窜改能力,他们竟滥用此EDR系统的端点代理程式安装档来达到目的,从而成功于受害电脑部署勒索软体Babuk。研究人员将这种过往未曾出现过的手法,称做「自带安装程式(Bring Your Own Installer)」。
对此,怡安向SentinelOne通报他们的发现,该资安业者迅速做出回应,向用户发布缓解问题的指引。SentinelOne指出,针对本机代理程式升级或降级的作业,管理者可启用通过线上批准(Online Authorization)的机制来进行审核,来防范相关攻击。不过值得留意的是,这项政策并未预设启用,管理者必须手动开启。
根据Elastic说明,此漏洞影响Kibana 8.3.0至8.17.5、8.18.0以及9.0.0版本,在同时启用机器学习与报表功能的条件便会产生攻击面,攻击者透过特制恶意载荷进行原型链(Prototype Chain)污染后,最终得以控制执行流程。尽管漏洞需在通过Kibana内部权限验证的前提下才能触发,但由于攻击可在无使用者互动的情况下实现远端程式码执行,Elastic仍将其评为重大等级。
Elastic推出8.17.6、8.18.1、9.0.1版修补,建议所有受影响部署尽速升级。若无法立即更新,该公司建议暂时停用特定功能来缓解这项弱点。
【资安防御措施】
近期Meta公开Llama模型安全工具,可用于防范Llama模型越狱、提示注入攻击,此外也发表SOC AI安全评估工具、以及供企业防止资料外泄、与deepfake诈骗的检测工具。
最新的LlamaFirewall是LLM护栏工具,它作用于使用者和LLM模型、以及模型与代理人之间,可与Meta的防护模型像是Llama Guard、Prompt Guard,以及和CodeShield过滤工具、扫瞄工具协同,以侦测并防止提示注入、不安全程式码,或是和可疑的LLM外挂互动。
Llama Guard 4为可客制化Llama Guard模型的最新版,为120亿参数的多模态安全模型,能理解多模态包括文字和图片输入。Guard 4并提供多个模型检查点及互动式notebook方便用户微调。