在网络安全的攻防对抗里,终端侧的较量始终是最前线的战场。红队成员想在目标主机上站稳脚跟,首先要过的就是 EDR (终端检测与响应系统) 这一关。
过去想要找到 EDR 的检测盲区,研究人员需要熬夜调试内核、逐行拆解二进制文件,靠经验一点点摸索绕过方法,效率完全依赖个人技术积累。
而随着大语言模型能力的迭代,这套耗时耗力的玩法正在被彻底改写。安全厂商 SpecterOps 最新的研究证实,只需要一套极其简单的自动化框架,配合专用安全大模型,就能在无人值守的情况下完整逆向主流 EDR 的本地检测逻辑,提取规则、解密模型甚至直接给出可落地的绕过方案。这场由 LLM 驱动的终端对抗升级,正在把整个行业推向新的节点。
对很多安全研究员来说,拆解 EDR 引擎是个熟悉又磨人的工作。开一台开启内核调试的虚拟机,放着音乐熬几个晚上,才能从层层封装的代码里抠出几条检测规则,找到一个可用的绕过手法。遇到项目赶工期的时候,这种慢节奏的手工逆向经常让人头疼。LLM 的出现给这个场景带来了质变。当大模型具备调用逆向工具的能力之后,原本需要人一步步执行的分析、验证、总结工作,都可以交给模型循环迭代完成。
SpecterOps 团队基于这套思路做了一套分析框架,测试下来主流的五家 EDR 产品,其本地检测体系都能被完整拆解,规则、签名、检测模型都能离线提取出来。在逆向过程中团队还发现一个有意思的现象:很多规则都是专门针对业内常用的红队工具设计的,比如 MythicC2 框架的各类代理、SCCMHunter、甚至识别 BloodHound 采集行为的 LDAP 流量检测规则。他们还专门整理了一份清单,记录这些针对公开工具的检测签名。这次研究团队选择了 Palo Alto 的 Cortex XDR 作为演示样本,不是因为它的防护能力最弱,而是它的实现方式有不少有意思的设计,能更直观地展示 LLM 逆向的效果。需要说明的是,这套方法对所有主流 EDR 厂商都适用,研究团队内部已经完成了多家产品的规则提取。
#ai创造营#
发布了头条文章:《当大模型学会逆向拆解EDR,终端安全的天平正在倾斜》 http://t.cn/AXoz5mdm
发布于 广东
