サイバーセキュリティ研究者は、Palo Alto Networksの Cortex XDR における重大な回避技術を発見しました。これにより、攻撃者は保護された検出ルールを復号化および悪用することで、行動検出を回避することができます。
この発見は、プラットフォーム内で行動基盤侵害指標(BIOC)ルールがどのようにセキュリティ保護され、実装されているかの根本的な弱点を明らかにしています。
Cortex XDRは、多くのエンドポイント検出・対応(EDR)ソリューションと同様に、署名ではなくシステムアクティビティに基づいて悪意のある動作を検出するために、BIOCルールに大きく依存しています。
これらのルールはCLIPSプログラミング言語で記述され、コンテンツ更新を通じて定期的にエンドポイントに配信されます。
改ざんとリバースエンジニアリングを防ぐため、Palo Altoはこれらのルールをエンドポイントにローカルに保存する前に暗号化します。
しかし、レッドチーム演習中に、研究者はCortex XDRエージェントバージョン8.7および8.8における検出動作の矛盾を観察し、これらのルールが内部でどのように機能するかについての詳細な調査を促しました。
エージェントが更新をどのように処理するかを分析することで、研究者は暗号化されたBIOCルールにアクセスして復号化することができ、その基本的なロジックを露出させることができることを特定しました。
鍵導出方法は環境全体で一貫していたため、復号化プロセスは確実に再現することができました。
研究者は、多段階のアプローチを使用して平文ルールの抽出に成功しました:
このプロセスにより、通常は顧客と防御者に隠されている検出ロジックを完全に可視化することができました。
復号化されると、BIOCルールは誤検知を減らすために設計された多くのハードコーディングされた例外を明らかにしました。その中で、研究者は回避のために悪用される可能性がある重要なグローバルホワイトリスト条件を特定しました。
このルールは、コマンドライン引数内に特定の文字列を含むプロセスを無視するようにエージェントに指示しました。
:\Windows\ccmcacheのような無害に見えるパスを追加することで、攻撃者は幅広い悪意のあるアクティビティの検出を効果的に抑制することができました。
実証された例の1つは、標準ツールを使用したLSASSプロセスからの認証情報ダンプです。
ホワイトリストに登録された文字列を含めるようにコマンドライン引数を変更することで、アクティビティは既知の悪意のある動作パターンに一致していてもCortex XDR保護を回避しました。
責任あるディスクロージャーの後、Palo Alto Networksは2026年2月末にこの問題に対処しました。ベンダーは悪用可能なグローバルホワイトリスト条件を削除し、ルール復号化をより困難にするために暗号化鍵導出プロセスを変更しました。
組織は以下のステップを取ることをお勧めします:
翻訳元: https://cyberpress.org/researchers-reveal-technique-to-decrypt-and-exploit-cortex-xdr-bioc-rules/