Скачать или смотреть DEF CON 32 — Борьба с вредоносным ПО EDR с помощью криминалистики памяти — Кейс, Селлерс, Ричард ...

Программное обеспечение для обнаружения и реагирования на конечные точки (EDR) завоевало значительную долю рынка благодаря своей способности проверять состояние системы на наличие признаков вредоносного ПО и активности злоумышленников, выходя далеко за рамки возможностей традиционного антивирусного ПО. Эта глубокая проверка EDR привела к гонке вооружений с разработчиками вредоносных программ, стремящимися обойти EDR, при этом достигая желаемых целей, таких как внедрение кода, боковое смещение и кража учётных данных. Этот мониторинг и обход защиты происходят на самых низких уровнях аппаратного и программного обеспечения, включая кадры стека вызовов, обработчики исключений, системные вызовы и манипуляцию собственными инструкциями. В связи с этим EDR ограничены в том, насколько низкоуровневыми они могут работать для сохранения преимущества. Успех обходов EDR привёл к их использованию во многих громких атаках и многочисленными группами программ-вымогателей.

В этом докладе мы обсуждаем наши исследования, которые привели к разработке новых методов криминалистики памяти для обнаружения обходов, используемых вредоносными программами для обхода EDR. К ним относятся методы обхода, такие как прямые и косвенные системные вызовы, перезапись модулей, вредоносные обработчики исключений и злоупотребление отладочными регистрами. Разработанные нами возможности были реализованы в виде новых плагинов к фреймворку анализа памяти Volatility версии 3 и будут выпущены после доклада.