ハッカーはCortex XDR Live Terminal機能をステルス性の高いEDR信頼済みコマンド・アンド・コントロール(C2)チャネルとして転用でき、組み込みの対応ツールを実質的に保護されたエンドポイント上の「ランディングオフザランド」バックドアに変えることができます。
この悪用はエージェントの信頼できる通信と柔軟なリモート実行機能を活用して、悪意のある操作を通常のCortex XDRトラフィックに混ぜます。
Cortex XDR Live Terminalはディフェンダーに、Cortexエージェントで管理される安全なチャネルを通じて、調査と対応のためのエンドポイントへのリモートシェルアクセスを提供します。
Cortex XDRテナントからLive Terminalセッションが開始されると、エージェントはhttps://[tenant].traps.paloaltonetworks.com/operations/socketなどの操作ソケットに接続し、ヘルパー実行可能ファイルをダウンロードします。これはエンドポイント上のインタラクティブ操作に電力を供給することが一般的に観察されています。
このヘルパーはコマンド実行、PowerShellおよびPython実行、プロセス検査、アップロードおよびダウンロード機能を備えたファイルシステムブラウジングなど、豊富な機能を提供し、すべて管理者向けのグラフィカルコンソールを通じて公開されます。
ホストのローカル管理者権限を持つ攻撃者にとって、これは魅力的なプリインストール済みC2インプラントになります。EDRによって署名され信頼されており、ポート443上のアウトバウンドTLSでPalo Altoインフラストラクチャーと通信し、プライバシーと信頼性の理由から深いTLSインターセプションから除外されることがよくあります。
最小限の調整で、敵対者はこのチャネルを通じて標準的なコンテンツまたは防止ルールをトリガーすることなく任意のコマンドを実行でき、カスタムマルウェアの展開または独自のインプラントの維持の必要性を回避できます。
Cortex XDR Live Terminal
Cortexエージェント網トラフィックを分析している研究者は、Live Terminal通信がlrc-ch.paloaltonetworks.comなどの地域エンドポイントへのHTTPS上のWebSocketに依存しており、デフォルトでは強力な証明書またはCAピニングがないことを観察しました。
「証明書強制」メカニズムが存在し、内部CAストアに依存していますが、これは侵害されたシステム上の構成およびファイルシステムレベルで無効または変更できます。
PyInstallerで構築されたパック済みPython 3.12実行可能ファイルを抽出および逆コンパイルすることにより、分析者は特定の接続を検証するために使用される内部CAバンドルを特定し、カスタム証明書(たとえば、信頼できるプロキシCA)を追加するとLive Terminalトラフィックの完全なインターセプションおよび検査が可能になることを実証しました。
インターセプションが可能になると、Live Terminalプロトコルは比較的シンプルで未署名のWebSocket上のコマンドチャネルを明かし、サーバーはエージェントに対処を実行して出力を返すように指示します。
重要なことに、TLSを超えた暗号化コマンド署名または相互認証はないため、攻撃者が修正されたCAバンドルで信頼される不正なサーバーにエージェントをリダイレクトできる場合、Cortexプロセスコンテキストで実行される任意のコマンドを発行できます。
実証された1つの悪用方法は、クロステナントハイジャックを実行するために悪意のあるまたは侵害されたCortexテナントに依存しています。
独自のCortexテナントを持つ攻撃者は正当なLive Terminalセッションを開始し、Live Terminalホストおよびトークンパラメーターを含む初期WebSocketメッセージをインターセプトし、それらの値を転用して自分の制御下にある被害者ホストで起動します。
ペイロードが提供されたサーバーとトークンで実行されると、被害者マシンは攻撃者のテナントコンソールに表示されるLive Terminalセッションを確立し、公式GUIを通じて完全なリモート制御を許可します。
ホストとトークンを含むWebSocketメッセージ(-port 443 -server lrc-ch.paloaltonetworks.com -token [REDACTED] -d)が生成されます。攻撃者はこの初期メッセージをインターセプトし、自分のマシン上の正当なエージェントに到達するのを防ぐ必要があります。
第2の方法は、Live Terminalサーバー側WebSocketロジックを再実装することにより、Cortexテナントの使用をまったく回避します。
プロトコルは簡潔で署名がないため、控えめな努力で複製でき、LLM支援コーディングで潜在的に自動化して、エージェントからのインバウンド接続を受け入れ、コマンド指示で応答できます。
名目上サーバーパラメーターが終了することを検証していますが、実装はこのチェックをURL文字列全体に適用します。
これにより、attacker.com/test.paloaltonetworks.comなどの簡単なバイパスが可能になります。これはサフィックスチェックに合格しますが、DNSまたはhosts-fileエントリが操作されると攻撃者が制御するインフラストラクチャに解決されます。
制限と検出
敵対者にはまだ実際的なハードルがあります。ネイティブロケーションから実行して構成をハイジャックするには通常、ローカル管理者権限が必要です。Cortex XDRは、独自のバイナリが標準以外の親プロセスによって生成されたときに検出またはブロックするように設計されたデフォルトコンテンツルールで提供されます。
ただし、十分な権限を持つ決定された攻撃者はこれらの動作ルールをバイパスしようとすることができ、最近のCortex XDRコンテンツ更新で配信されたと主張されている修正が2026年初期テスト中に検証されたLive Terminal悪用パスを完全に閉じないという兆候があります。
最終的に、この研究は、攻撃者が信頼できる対応機能をコバートC2チャネルに変えるのを防ぐために、厳格な証明書ピニング、相互認証機能、署名付きコマンドなどのセキュアバイデザイン機能がEDRリモートアクセスツール機能に必要であることを強調しています。
ディフェンダーは通常のcyserver.exe親関係の外で起動されたインスタンスを非常に疑わしいものとして扱い、Cortexバイナリを含む異常な親子チェーンについてのプロセス作成テレメトリーを継続的に監視する必要があります。
ネットワークディフェンダーは、Live Terminalエンドポイントおよび関連するFQDNへのアウトバウンド接続も精査する必要があります。官式ドキュメンテーションと一致しないサフィックス付きURLへの予期しない接続を含め、これらは攻撃者が制御するサーバーにエージェントをリダイレクトする試みを表している可能性があるためです。
翻訳元: https://gbhackers.com/cortex-xdr-exploited/
