概要
サイバーセキュリティ研究者らは、Palo Alto NetworksのCortex XDRエージェントに深刻な回避策が存在することを発見しました。この回避策により、攻撃者は悪意のあるアクションを実行し、アラームを引き起こさずにすむ可能性があります。
研究の詳細
研究者は、Palo Altoが提供するBehavioral Indicators of Compromise (BIOC)ルールが暗号化された状態で配信されていることに注目しました。これらのルールは、システムの行動を監視して高度な攻撃を捕捉するためのもので、通常は暗号化された形式で保存されます。
ルールの解読方法
研究チームは、Cortex Windowsエージェント(バージョン8.7と8.8)が特定のペイロードを検出する仕組みを調査しました。このプロセスの一環として、以下の手順を実施しました。
- システムのローカルダウンロードディレクトリ内で暗号化されたコンテンツ更新を見つける。
- ProcMonを使用してファイル読み取り操作を追跡し、cysvc.dll内の暗号化関数を特定する。
- WinDBGをカーネルデバッガーとして使用し、EDRの自己保護メカニズムをバイパスする。
- 暗号化プロセスをインターセプトし、メモリからプレーンテキストのCLIPSルールをダンプする。
発見された脆弱性
解読されたルールには、偽陽性を防ぐためにハードコードされた例外が多数含まれていました。特に深刻な発見は、プロセスのコマンドライン引数に特定の文字列が含まれている場合にエージェントが無視するグローバルホワイトリストルールでした。
攻撃の例
攻撃者は、プロセスのコマンドライン引数に:\ この脆弱性は2026年2月末にパロアルトネットワークスによって修正されました。組織は以下の対策を実施することを推奨します。 この発見は、セキュリティの隠蔽性に対する継続的な議論を引き起こしています。一部のベンダーは、防御者を強化するためにオープンなルールセットを維持していますが、閉鎖されたシステムは容易に悪用可能な脆弱性を見逃す可能性があります。 元記事: https://gbhackers.com/researchers-decrypt-palo-alto-cortex-xdr-bioc-rules-for-evasion/対策と今後の課題