一种新的开创性技术可以通过将Windows内核（NTDLL）的面向用户模式与硬件断点脱钩，使端点检测和响应（EDR）平台“盲”。研究人员警告说，这可能会让恶意行为者在EDR不知情的情况下，从NTDLL内部执行并交付任何功能。

Cymulate攻击性研究小组发现了它所称的“盲侧”技术，在12月19日发布的一份报告中指出，注入的命令可以用于在目标系统上执行任意数量的意外、不必要或恶意操作。

Blindside创建了一个脱钩过程。这意味着EDR平台用于识别恶意行为的钩子（允许一个应用程序监视另一个）不会出现在脱钩过程中。

研究人员解释说，由于许多EDR解决方案完全或严重依赖钩子来跟踪行为和恶意活动，因此无法跟踪Blindside启动的过程的行为。

Cymulate技术信息主管Mike DeNapoli指出，还有其他方法可以阻止钩子，但它们在很大程度上依赖于操作系统的合作。Blindside并非如此。

“Blindside利用硬件操作，可以在其他方法失败的情况下工作，”他解释道。

DeNapoli还指出，使用硬件断点进行恶意结果并不是什么新鲜事，他解释说，研究人员知道可以使用各种形式的断点来混淆x86架构中的检测。然而，Blindside的方法略有不同。

他说：“以前的威胁方法和技术都侧重于过程的虚拟化，或者使用系统调用来实现其目标。”。“Blindside添加了使用特定调试断点来强制进程在没有挂钩的情况下启动，这就是它成为一种新技术的原因。”

发现新技术提高保护

DeNapoli表示，发现新的攻击向量可以让EDR供应商及其客户在防守方面保持领先。

他解释道：“当调查技术时，Cymulate进攻性研究团队有时会发现一些可以用来创造新技术的想法。”，补充说，将结果公之于众的理由是，在EDR供应商和公众发现这些潜在攻击技术和方法并将其用于恶意目的之前，让他们更加了解这些技术和方法。

DeNapoli表示：“EDR解决方案使用多种方法来监控应用程序和流程，以了解它们执行恶意操作的情况。”。“这种基于行为的检测思想已经成为反恶意软件操作的主要和最流行的方法。这使得绕过和破坏这种形式的反恶意软件的操作成为组织和服务提供商的主要关注点。”

Netrich的主要威胁猎人约翰·班比内克（John Bambenek）同意，好消息是，这种战术是在袭击之前发现的，并与更广泛的社区共享。

“这样，他们可以制定缓解措施，其中一些是在研究本身，”他说。“这项研究确定了问题和前进的道路。”

他补充道，攻击者不断开发技术，寻找漏洞绕过我们的安全工具。本月早些时候，在不同供应商的EDR工具中发现了漏洞，其中包括Microsoft、Trend Micro和Avast，攻击者可以利用这些漏洞操纵产品，擦除已安装系统上的任何数据。

另一个威胁团体最近被观察到将微软签署的驱动程序作为终止防病毒和EDR过程的工具包的一部分。

“要么我们先找到他们并制定缓解措施，要么我们希望攻击者找到他们并处理违规行为，”Babenek说。

更新防御姿势

DeNapoli解释说，下一代EDR平台很可能会逐渐摆脱对挂钩过程的依赖。

他说：“Cymulate测试该技术的几家EDR供应商已经开始使用不仅仅是挂钩方法来跟踪行为，而且随着避免挂钩的其他技术被公开，肯定会有更多人这样做。”。

DeNapoli补充道，与组织的EDR供应商和/或服务提供商合作，并根据供应商/提供商的建议更新和验证其基础设施中的系统和工具配置，是领先于威胁行为者的关键一步。

“因为EDR解决方案只是一层防御，而且现代网络安全解决方案可能很复杂，所以组织也必须定期验证其安全控制，”他说。

Babenek警告说，许多组织认为，当他们在各地部署EDR时，他们的工作就完成了，尽管这很重要，但这只是难题的一部分。