EDR: Nachfolger der Antiviren-Software kämpfen mit altbekannten Problemen
<html> <header class=„article-header“><h1 class=„articleheading“>EDR: Nachfolger der Antiviren-Software kämpfen mit altbekannten Problemen</h1><div class=„publish-info“> Jürgen Schmidt</div></header><figure class=„aufmacherbild“><img src=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/shutterstock_788865235.jpg-ed3e7b55a7f4605f.jpeg“ srcset=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/shutterstock_788865235.jpg-ed3e7b55a7f4605f.jpeg 700w, https://heise.cloudimg.io/width/1050/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/shutterstock_788865235.jpg-ed3e7b55a7f4605f.jpeg 1050w, https://heise.cloudimg.io/width/1500/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/shutterstock_788865235.jpg-ed3e7b55a7f4605f.jpeg 1500w, https://heise.cloudimg.io/width/2300/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/shutterstock_788865235.jpg-ed3e7b55a7f4605f.jpeg 2300w“ alt=„“ class=„img-responsive“ referrerpolicy=„no-referrer“ /><figcaption class=„akwa-caption“>(Bild: ImageFlow/Shutterstock.com)</figcaption></figure><p><strong>Die Security-Industrie preist Endpoint Detection & Response als das bessere Antivirus an. Tests zeigen, dass es oft an den gleichen Problemen scheitert.</strong></p><p>Endpoint Detection and Response, kurz EDR tritt an, eine Schutzfunktion umzusetzen, die herkömmliche Antiviren-Software nur als Werbeversprechen der Hersteller lieferte: Selbst bislang unbekannte Schad-Software entdecken und stoppen. Doch während EDR-Software beim Erkennen bösartiger Aktivitäten tatsächlich signifikant besser ist, als ihre Vorgänger, hat sie doch deren grundsätzliches Problem geerbt: Sie lässt sich zu leicht austricksen, wie aktuelle Tests eines Forscherteams demonstrieren.</p><h3 class=„subheading“ id=„nav_klassisches0“>Klassisches Antivirus</h3><p>Antiviren-Software untersucht primär Dateien nach bekannten Mustern potenziell schädlicher Aktivitäten. Das bedeutet primär, dass sie mit sogenannten Signaturen in einer Datei nach bestimmten Zeichenfolgen sucht. Es ist kein Geheimnis, dass ein Programmierer seinen Schadcode sehr einfach so anpassen kann, dass diese Tests nicht mehr anschlagen. Das haben auch die Test von Antiviren-Software in c't immer wieder bewiesen.</p><p>Diese Signatur-Scans ergänzt AV-Software durch die Analyse in einer Sandbox, in der sie die verdächtige Software kontrolliert ausführt. Doch diese Sandboxen können ein reales System nur begrenzt nachbilden und lassen sich somit erkennen. Die praktische Folge: Malware entdeckt die Sandbox, macht auf harmlos und entgeht auch der Entdeckung durch die dynamische Analyse.</p><h3 class=„subheading“ id=„naverstmal1“>„Erstmal laufen lassen“</h3><p>Um die Funktionsweise von EDR ranken sich viele Mythen; viele davon dürften wie auch bei AV auf wolkige Versprechen der Hersteller zurückzuführen sein. Jorge Gimenez und Karsten Nohl von der Berliner Security-Firma SRLabs haben sich das konkret angeschaut und erklären die zusätzlichen Schutzfunktionen technisch nachvollziehbar.</p><p>EDR-Software konzentriert sich demnach nicht mehr so sehr auf die Inhalte von Dateien, sondern überwacht die Aktivitäten von laufenden Prozessen auf dem zu schützenden System. Dazu klinkt sie sich typischerweise in die API-Aufrufe aller laufenden Programme ein (Hooking) und reagiert auf verdächtige Aktivität, die Schad-Software typischerweise an den Tag legt. So kann sie auch bislang völlig unbekannte Schad-Programme identifizieren und deren weitere Ausführung stoppen. So weit zumindest die Theorie.</p><figure class=„a-u-inline-right a-inline-image a-u-inline“><div><img alt=„“ class=„legacy-img“ height=„453“ src=„https://heise.cloudimg.io/width/696/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.25.55-cbf3fe7852dd520e.png“ srcset=„https://heise.cloudimg.io/width/336/q70.png-lossy-70.webp-lossy-70.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.25.55-cbf3fe7852dd520e.png 336w, https://heise.cloudimg.io/width/1008/q70.png-lossy-70.webp-lossy-70.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.25.55-cbf3fe7852dd520e.png 1008w, https://heise.cloudimg.io/width/1392/q70.png-lossy-70.webp-lossy-70.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.25.55-cbf3fe7852dd520e.png 2x“ width=„696“ referrerpolicy=„no-referrer“ /></div><figcaption class=„a-caption“>EDR überwacht die Systemaufrufe aller Prozesse via ntdll.dll. Wer diese umgeht, kann das EDR austricksen.(Bild: SRLabs)</figcaption></figure><p>In der Praxis kämpft jedoch EDR mit genau dem gleichen Problem wie schon Antiviren-Software: Ein motivierter Angreifer kann die Entdeckung gezielt umgehen, wie die Forscher bei konkreten Tests festgestellt haben. Dazu haben sie drei prominente EDR-Lösungen in einer Testumgebung installiert und dann versucht, diese auszutricksen. Zum Einsatz kamen dabei Microsoft Defender for Endpoints, Sentinel One und Symantec EDR.</p><p>Nohl et al versuchten mit diversen Tricks, das Hooking durch das EDR zu umgehen; also die benötigten Windows-Systemfunktionen zu benutzen, ohne dass der Wächter das mitbekam. Sie hatten letztlich mit einem Verfahren die besten Erfolge, das sie Indirect Syscalls nennen. Im Prinzip umgehen sie dabei die vom EDR instrumentierte Systembibliothek ntdll.dll und rufen die benötigten Kernel-Funktionen selbst auf. Da der direkte Aufruf der syscall-Funktion zu oft Alarm auslöste, suchten sie eine solche im Arbeitsspeicher und sprangen diese an – deshalb „Indirect Syscall“.</p><h3 class=„subheading“ id=„nav_c_c_am_edr2“>C&C am EDR vorbeigemogelt</h3><p>Sie testeten dies mit Cobalt Strike Beacons und Silver; beides sind beliebte Hintertür-Programme, die Angreifer auf kompromittierten Systemen installieren, um diese zukünftig nach Belieben nutzen zu können. Sie werden in großen Stil sowohl von Cybercrime-Banden etwa im Rahmen von Ransomware-Kampagnen genutzt als auch von staatlichen APT-Hackern.</p><p>Die gute Nachricht: Während die parallel dazu getestete Antiviren-Software diese Command&Control-Malware nicht als bösartig erkannte, identifizierten alle drei EDRs (bis auf eine Ausnahme) eine Gefahr und lösten Alarm aus. Zumindest in der Standardversion. Sobald die Whitehat-Hacker jedoch in ihre Trickkiste griffen, wurden auch die EDR-Ergebnisse schlechter.</p><figure class=„a-inline-image a-u-inline“><div><img alt=„“ class=„legacy-img“ height=„258“ src=„https://heise.cloudimg.io/width/696/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.22.45-a2c717b37b07c5cf.png“ srcset=„https://heise.cloudimg.io/width/336/q70.png-lossy-70.webp-lossy-70.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.22.45-a2c717b37b07c5cf.png 336w, https://heise.cloudimg.io/width/1008/q70.png-lossy-70.webp-lossy-70.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.22.45-a2c717b37b07c5cf.png 1008w, https://heise.cloudimg.io/width/1392/q70.png-lossy-70.webp-lossy-70.foil1/_www-heise-de_/imgs/18/3/5/9/7/4/2/5/Bildschirmfoto_2022-08-24_um_13.22.45-a2c717b37b07c5cf.png 2x“ width=„696“ referrerpolicy=„no-referrer“ /></div><figcaption class=„a-caption“>Rot signalisiert einen erfolgreichen Umgehungsversuch. Letztlich konnten die Forscher alle EDR-Systeme austricksen.(Bild: SRLabs)</figcaption></figure><p>Am effektivsten war es, wenn sie den Schadcode nicht in einer ausführbaren Exe-Datei platzierten, sondern in einer Bibliothek (DLL). Letztlich konnten die Forscher ihre Malware an allen EDR-Systemen vorbeimogeln und somit deren Schutzfunktion außer Kraft setzen. Auch der versprochene Alarm bei verdächtigen Aktivitäten wie der C&C-Kommunikation, dem Installieren eines Keyloggers oder dem Ausführen zusätzlicher Schadprogramme blieb meistens aus.</p><h3 class=„subheading“ id=„navkein3“>„Kein revolutionärer Sprung“</h3><p>Ein grundsätzliches Fragezeichen hinter den Nutzen von EDR setzte ein finaler Test der beiden Forscher: Immerhin 13 beziehungsweise 16 Antiviren-Programme schlugen auf Virustotal Alarm, als sie mit den eingesetzten Cobalt-Strike- und Silver-Samples konfrontiert wurden. Das spricht dafür, dass auch klassische Sandbox-Analysen noch Potenzial zu besserer Erkennung haben. Sie hat im Vergleich zum Hooking der EDR den Vorteil, dass sie nicht „am lebenden Objekt“ operiert.</p><p>Die Forscher setzten bislang nur vergleichsweise einfache, bekannte Evasion-Techniken ein. Das ließe sich prinzipiell noch deutlich weiter treiben, sollte sich das als notwendig erweisen, erklärte Nohl gegenüber heise Security. Letztlich bleibt es dabei, dass man vor allem in Firmen auch ein EDR mit anderen Schutzmaßnahmen wie Filtern, White-Listing, Least Privilege und so weiter kombinieren muss, um ein akzeptables Sicherheitsniveau zu erreichen.</p><p>„Ein EDR-System zu umgehen, ist stets mit zusätzlichem Aufwand für den Hacker verbunden. Insoweit spielen EDRs eine wichtige Rolle dabei, Hacker zu verlangsamen, sind aber nicht das Allheilmittel als das sie häufig angepriesen werden“ bilanziert Nohl seine Erkenntnisse, die er auch in einem <a href=„https://conference.hitb.org/hitbsecconf2022sin/session/edr-evasion-primer-for-red-teamers/“ rel=„external noopener“ target=„_blank“><strong>Talk auf der Konferenz Hack-in-the-Box [1]</strong></a> präsentiert. Das hätte er aber ähnlich auch über AV-Software sagen können.</p><p>() </p><p><strong>URL dieses Artikels:</strong><small><code>https://www.heise.de/-7241955</code></small></p><p><strong>Links in diesem Artikel:</strong><small><code><strong>[1]</strong> https://conference.hitb.org/hitbsecconf2022sin/session/edr-evasion-primer-for-red-teamers/</code></small><small><code><strong>[2]</strong> mailto:ju@ct.de</code></small></p><p class=„printversioncopyright“><em>Copyright © 2022 Heise Medien</em></p> </html>
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International