EDR 脆弱性：面对网络攻击的新挑战

重要重点

• 最近期的研究显示，大多数 EDR 解决方案无法阻止所有绕过技术。
• 网络罪犯使用多种方法规避 EDR，包括逃避技术和特权升级攻击。
• 攻击者通过供应链攻击来利用信任的软体供应商来彻底规避 EDR。
• EDR 各种盲点及警报疲劳问题影响了安全团队的及时反应。

随著端点检测与响应（EDR）技术的出现，这是一种更强大的方法，能够检测笔记本电脑、手机和
上的恶意活动。然而，即使 EDR与传统防病毒软体相比拥有众多优势，最近的网络攻击显示 产品并无法阻挡那些技巧高超且决心坚定的网络罪犯。

一项 发现，在评估的 26 款 EDR解决方案中，几乎没有一款能够完全防止所有绕过技术。以下是网络罪犯如何规避目前市场上大多数 EDR 的方法：

政策 | 描述
—|—
逃避技术 | 一般来说，威胁行为者在获得初步访问权后，会寻找安装在受感染设备上的安全工具和过程，然后利用各种技术来规避检测。
特权升级 | 网络罪犯会利用系统或应用中的漏洞获得管理权限，进而禁用安全解决方案和执行恶意活动。
供应链攻击 | 攻击者通过搅扰受信任的软体供应商的问题，隐秘地使用其软体来访问目标系统。
盲点与警报疲劳 | EDR 解决方案的限制常常使它们对安装的端点无法全面监视，导致在大数据中难以有效识别威胁。

其中，逃避技术尤为重要。威胁行为者会将恶意代码注入合法应用程序，或者使用代码混淆来避免触发 EDR 检测。著名的
(FIN7)，利用这些技术成功进行了历史上最大的一次银行抢劫。这些逃避技术也出现在一些旨在进行攻击的开源框架中，使网络罪犯能够轻松许多获取。

除了逃避技术外，特权升级也是一个巨大的风险。这种攻击可以让黑客轻易地禁用 EDR 以执行其行为。EDR 需要管理权限来保护设备，APT通常能够利用这些漏洞获得控制权。最近 在 Windows Defender 的 “TamperProtection” 功能中发现了一种漏洞，可能会导致攻击者获得系统级的权限，并随意篡改设备的安全设置。

供应链攻击让情况更加复杂，攻击者通过妨碍信任的软体供应商，使用其官方软体进行攻击，例如
攻击。这一攻击成功地逃避了成千上万 SolarWinds 客户的 EDR 系统，更可怕的是，最近的