Παράκαμψη ανίχνευσης EDR μέσω Hookchain

Abstract

Οι κυβερνοεπιθέσεις εξελίσσονται με ανησυχητικούς ρυθμούς, αποτελώντας πλέον μια από τις μεγαλύτερες προκλήσεις παγκοσμίως. Οι επιδράσεις τους είναι πολλαπλές και επιβάλλεται η ανάγκη για δημιουργία προηγμένων πλαισίων ασφαλείας. Τα Endpoint Detection and Response (EDRs) αποτελούν μια τέτοια τεχνολογία αιχμής, η οποία μπορεί να αμυνθεί σε απειλές, αξιοποιώντας τεχνικές όπως ανάλυση συμπεριφοράς, μηχανική μάθηση και παρακολούθηση σε πραγματικό χρόνο. Παρόλο ότι χρησιμοποιείται από πολλούς οργανισμούς, εξακολουθεί να έχει αρκετά κενά και σύμφωνα με την μελέτη του Helvio Junior υπάρχει ακόμη περιθώριο βελτίωσης. Η εργασία αυτή βασίστηκε κυρίως στη μελέτη της μεθόδου HookChain, η οποία παρακάμπτει την ανίχνευση των EDRs μέσω Indirect Syscalls, Dynamic SSN Resolution και IAT Hooking. Σε συνδυασμό με σύγχρονες τεχνικές απόκρυψης και χρήσεις τεχνικών που συμπεριλαμβάνει η μέθοδος Hookchain, πραγματοποιήθηκαν πειράματα με διάφορες παραλλαγές, όπου καταγράφτηκε ο τρόπος αντιμετώπισης των EDRs προς αυτά.