第一章
几乎每个对手,无论他们是恶意行为者还是商业红队的一部分,有时都会遇到危及其运营的防御产品。在这些防御产品中,端点检测和响应(EDR)对攻击的攻击后阶段构成了最大的风险。一般来说,EDR是安装在目标工作站或服务器上的应用程序,旨在收集有关环境安全的数据,称为遥测。
EDR的组成部分
后面的章节将探索许多EDR传感器组件的具体细节,它们是如何工作的,以及攻击者是如何避开它们的。首先,我们将EDR视为一个整体,并定义一些在本书中经常会看到的术语。
代理(Agent)
EDR代理是一个应用程序,它控制和使用来自传感器组件的数据,执行一些基本分析以确定给定的活动或一系列事件是否与攻击者行为一致,并将遥测数据转发到主服务器,主服务器进一步分析来自部署在环境中的所有代理的事件。
如果代理认为某些活动值得关注,它可能会采取以下任何行动:以警报的形式将恶意活动记录到中央日志系统,例如EDR的仪表板或安全事件和事件管理(SIEM)解决方案;通过向正在执行该操作的程序返回指示失败的值来阻止恶意操作的执行;或者通过向调用者返回无效值(例如不正确的内存地址或修改的访问掩码)来欺骗攻击者,从而导致攻击性工具相信操作已成功完成,即使后续操作将失败。
遥测(Telemetry)
EDR中的每个传感器都有一个共同的目的:收集遥测数据。粗略地定义,遥测是由传感器组件或主机本身生成的原始数据,防御者可以分析它以确定是否发生了恶意活动。系统上的每个操作,从打开文件到创建新进程,都会产生某种形式的遥测。
该信息成为安全产品内部警报逻辑中的一个数据点。
遥测与雷达采集数据的对比如图1-1所示。雷达利用电磁波探测一定范围内物体的存在、方向和速度。
当无线电波从物体上反射回来并返回到雷达系统时,它就会产生一个数据点,表明那里有东西。利用这些数据点,雷达系统的处理器可以确定物体的速度、位置和高度等信息,然后以不同的方式处理每种情况。例如,系统可能需要对在较低高度低速飞行的物体做出不同于在较高高度高速飞行的物体的响应。