
在成功繞過勒索體防護機制後,這名研究員試圖進行更多惡意攻擊,並進一步了解Cortex XDR會如何回應。
他藉由拆解該系統的組態規則,從而突破無法從記憶體挖掘LSASS處理程序的暫存檔lsass.dmp的限制。研究人員針對dse_rules_config.lua的元件進行調查,然後將他使用的工具ProcDump重新命名為listdlls,而能成功取得lsass.dmp,從而找出使用者帳密及安全憑證。
接下來,研究人員指出,他藉由硬連結(hard-linking)來突破Cortex XDR的檔案防竄改保護機制,從而利用存在弱點的驅動程式,進行自帶驅動程式(BYOVD)攻擊。
特別的是,在成功繞過防竄改防護機制後,研究人員對Cortex XDR的密碼保護機制進行「修補」,一旦設置成所有密碼都無效,就有可能導致該端點代理程式任何人都無法移除、修改。
雖然上述弱點已經相當恐怖,但研究人員指出,他還能將Cortex XDR當惡意程式來使用。
研究人員藉由更動LUA檔案的規則,從而導致Cortex XDR主程式cyserver當掉,然後藉由Python檔案注入惡意程式碼,並重新執行Cortex XDR的主程式,從而能以系統層級的權限對受害電腦進行後門存取。這麼做使得研究人員的惡意程式受到Cortex XDR「保護」,而能在無法被偵測的情況下,以最高權限並持續在受害電腦隱密地運作。
針對上述的漏洞,研究人員10個月前進行通報,Palo Alto透過自動更新予以修補。