概要
ハッカーは、Cortex XDR Live Terminal機能を再利用し、EDR(Endpoint Detection and Response)に信頼されているコマンド・アンド・コントロール(C2)チャネルとして使用しています。これにより、内部の応答ツールが「living off the land」バックドアとなり、保護されたエンドポイント上で悪意のある操作を正常なCortex XDRトラフィックの中に混在させることができます。
Cortex XDR Live Terminalとは
Cortex XDR Live Terminalは、セキュリティ管理者がエンドポイントに対してリモートシェルアクセスを行い、調査や対応を行うための機能です。Live Terminalセッションを開始すると、エージェントは特定のURLに接続し、ヘルパー実行可能ファイルをダウンロードします。
悪用方法
攻撃者はこの機能を利用して、任意のコマンドを実行することができます。これにより、カスタムマルウェアや独自のインプラントを展開する必要がなくなります。また、Live Terminal通信はWebSockets over HTTPSを使用しており、デフォルトでは強力な証明書またはCAピンニングが行われていません。
ネットワークトラフィック分析
研究者は、Live Terminalの通信がWebSockets over HTTPSを介して特定のエンドポイントに依存していることを確認しました。これにより、攻撃者がカスタム証明書(例えば信頼されたプロキシCA)を追加することで、Live Terminalトラフィックを完全に検査することが可能になります。
セキュリティ上の課題
攻撃者は通常のcyserver.exe親プロセス関係外でインスタンスを起動する場合、これは非常に疑わしいと見なすべきです。また、Cortex XDRにはデフォルトのコンテンツ規則があり、そのバイナリが非標準の親プロセスによって生成された場合に検出またはブロックします。
対策
防御者は、Live Terminalエンドポイントや関連するFQDNへのアウトバウンド接続を監視し、公式ドキュメントと一致しないサフィックス付きURLの接続を注意深くチェックすべきです。