在网络安全领域中，有一个无法避免的“魔鬼交易”原则：为了让各种先进的安全工具能够顺利完成工作，它们会被授予最高等级的访问权限，并且可以充分获取网络系统中的各种资源。事实证明，一旦这些先进的安全防护能力被攻击者所利用，它们就可能会变成非常邪恶的恶意软件，对组织造成更巨大的危害。

在不久前举办的Black Hat 亚洲简报会上，SafeBreach公司的安全研究员Shmuel Cohen展示了他如何对Palo Alto Networks的标志性XDR产品Cortex进行了逆向工程和技术破解，并最终成功将其武器化，以部署反向shell和勒索软件。

据Cohen介绍：XDR已经成为目前企业组织中最流行的网络安全工具之一，具有非常强大的信息读取权限和访问控制能力。正是由于XDR所具有的这些特性，我突然有了一个疯狂的想法，有没有可能把XDR方案本身变成一个恶意软件，将XDR所具备的防护能力变成对付企业的攻击武器呢？

为了验证这个想法，Cohen选择了目前XDR领域中的一款明星产品——Cortex作为实验对象，对其各个关键组件进行了逆向破解。在测试过程中，Cohen发现Palo Alto的Cortex XDR比其他大多数安全工具更依赖于一系列以明文方式存在的配置文件。利用这一弱点，Cohen紧接着开展了一系列攻击操作：

ㆍ更改了XDR上的保护规则，使得它不能被更改；

ㆍ封锁了该设备与其服务器的所有通讯链接；

ㆍ部署后门程序控制用户设备；

ㆍ绕过XDR检测机制运行恶意软件。

“这些操作似乎都起到了作用，最终我成功绕过了Cortex XDR的一系列防篡改保护机制，在用户看起来一切正常的情况下，将其变成了一款可被实际利用的恶意软件工具。”Cohen表示：“目前还不知道其他流行的XDR产品中是否存在类似漏洞，但是我想总能找到可利用的方法。”

尽管Cortex XDR所暴露出的弱点并不意味着XDR这种类型的安全工具不再有效。但本次测试再次证明了，网络安全领域并不存在绝对有效的防护方法和手段，攻与防之间的对抗博弈将会长期存在。

现代网络攻击非常复杂，而且是多管齐下的。组织只有构建多层次的纵深防御方法，才能确保所有安全层能够协同运作，以提供最大的覆盖范围，识别和响应网络系统中不同类型、不同级别的网络威胁。

此外，组织还需要全面打通关联所有的网络和安全监控信息，及时了解最新的威胁态势和逃逸策略，并不断评估其最新的安全威胁态势。只有通过采取多层次、主动式的防护措施，组织才可以更好地保护他们的数字化资产，面对不断变化的威胁环境。

参考链接：

https://www.darkreading.com/application-security/evil-xdr-researcher-turns-palo-alto-software-into-perfect-malware