サイバーセキュリティ研究者は、Palo Alto NetworksのCortex XDRエージェントの重大な回避技術を発見しました。この技術により、攻撃者は行動検出を完全にバイパスできました。
この研究は、Palo Altoが暗号化して配布した事前定義の行動侵害指標(BIOC)規則がどのように復号化および分析できるかを示しています。
これらの規則をリバースエンジニアリングすることで、アナリストはハードコードされたグローバルホワイトリストを特定しました。これにより、脅威アクターは認証情報の抽出など悪意のあるアクションをアラームをトリガーすることなく実行できました。
エンドポイント検出応答(EDR)ソリューション(Cortex XDRなど)は、脅威を特定するためにさまざまな方法に依存しており、BIOC規則が最も重要なものの1つです。
これらの規則は高度な攻撃をキャッチするためにシステムの動作を監視します。レッドチームの実施中に、研究者はCortex Windowsエージェント(バージョン8.7および8.8)が特定のペイロードを予想外に検出していることに気付きました。
Cortex XDRはクローズドな検出規則セットを使用しているため、チームは正確なトリガーを理解するために実際の事前定義規則にアクセスしようとしました。
CLIPSプログラミング言語を使用するこれらの規則は、コンテンツ更新中にエンドポイントに定期的にダウンロードされますが、改ざんと分析を防ぐために暗号化形式で保存されています。
プレーンテキスト規則にアクセスするために、研究チームはCortexエージェントがローカルシステム上でコンテンツ更新をどのように処理するかを分析しました。
Infoguardによるさらなる分析により、規則は静的なキー構造を持つAES-256-CBCアルゴリズムを使用して保護されていることが明らかになりました。これにより、復号化プロセスは異なるテナント間で簡単に再現可能になりました。復号化プロセスには、いくつかの技術的なステップが関わっていました:
- システムのローカルダウンロードディレクトリで暗号化されたコンテンツ更新を特定する。
- ProcMonを使用してファイル読み取り操作をトレースし、
cysvc.dll内の復号化関数を見つける。 - WinDBGをカーネルデバッガとして使用してEDRの自己保護メカニズムを正常にバイパスする。
- 復号化プロセスをインターセプトしてメモリからプレーンテキストCLIPS規則を直接ダンプする。
規則が復号化されると、研究者は誤検知を防ぐために設計された多くのハードコードされた例外を発見しました。
最も深刻な発見は、エージェントにコマンドライン引数に特定の文字列を含むプロセスを無視するよう指示するグローバルホワイトリスト規則でした。
コマンドに:\Windows\ccmcacheを単に追加することで、攻撃者は自分のプロセスをおよそ半分のすべての行動検出から除外できました。
例えば、脅威アクターは、ブロックされることなくProcDumpのような標準ツールを使用してLSASSプロセスから認証情報を抽出できました。次のコマンドを実行することで、Cortex XDR保護を効果的にバイパスできます:
procdump64.exe -ma lsass.exe lsass.dmp :\Windows\ccmcache\
パッチとオープンルール論争
責任ある開示に従い、Palo Alto Networksは2026年2月下旬に脆弱性に対処しました。
パッチは悪用可能なグローバルホワイトリストを完全に削除し、暗号化キー派生プロセスを若干変更しました。
保護を確保するために、組織は次の軽減策を実装する必要があります:
- 環境をCortex XDRエージェントバージョン9.1にアップグレードする。
- コンテンツ更新バージョンが2160以上で実行されていることを確認する。
- ブラックボックス防止ツールを盲目的に信頼するのではなく、防御的な境界をテストし続ける。
この発見は、難読化によるセキュリティをめぐる継続中の論争を浮き彫りにしています。一部のベンダーはディフェンダーに力を与えるためにオープンな規則セットを維持していますが、クローズドシステムは簡単に悪用されるフローに対してセキュリティチームを盲目にするリスクがあります。
翻訳元: https://gbhackers.com/researchers-decrypt-palo-alto-cortex-xdr-bioc-rules-for-evasion/
