XDR（扩展威胁检测和响应）解决方案在帮助企业识别和减轻网络攻击威胁方面发挥了重要作用。然而一直以来，针对恶意软件的检测与绕过都是一场防守者和攻击者之间的军备竞赛，不断有新的技术被应用到博弈之中。研究人员发现，目前的攻击者正在大量使用检测规避、漏洞利用和禁用监控等方式来绕过XDR工具，以实施恶意攻击。

为了更好地理解攻击者如何规避XDR系统，本文深入分析了XDR系统运营的三个关键时期：数据采集、检测分析和响应处置，并对其中容易发生的检测规避情况提出防护建议和策略。

数据采集阶段的检测规避

XDR需要利用数据和传感器来提供全面且丰富的威胁检测能力。通过利用日志源、威胁情报、端点数据和其他传感器数据，XDR可以将这些遥测数据创建为一致的安全警报。XDR的安全可见能力也称之为XDR的遥测能力，是XDR系统最重要的基础能力。然而，XDR只能检测系统可以收集到的威胁内容，因此，当XDR未接收到检测恶意行为所需的数据信息时，就会产生检测措施被规避的情况。

具体来说，这个阶段的检测规避行为包括以下几种情况：

1、攻击者的行为没有产生“相关”的遥测数据。“相关”是指系统上的每个操作都会产生一定数量的遥测数据，但这些事件可能对创建良好的检测没有意义。因此，可以将其视为系统中缺失的事件源，而不是XDR的缺陷。

2、系统产生了遥测信息但未被XDR接收。XDR可以订阅成千上万的事件源，供应商的任务是决定需要哪些事件源来满足他们的检测需求。例如，如果XDR供应商对检测与活动目录（AD）相关的行为特别感兴趣，他们就会优先从AD而非网络流量中收集事件。未收集某些类型的事件（无论是出于选择还是出于疏忽），会导致XDR的检测覆盖面出现可利用的缺口。

3、攻击者可能会主动干扰XDR代理，这样事件就不会发送到负责收集和关联的集中式服务器。这种干扰同样有多种形式，包括停止或卸载代理，阻止其与服务器的通信（例如，通过基于主机的防火墙修改），或篡改传感器（例如，禁用AMSI）。

检测分析阶段的检测规避

在检测分析阶段，攻击者规避XDR检测的首选方法就是破坏其中的检测逻辑。检测本身只是评估一个事件或一组事件的方法，以确定是否存在可能指示恶意行为的某些条件。这些检测查询的规则可以是精确的（precise），这意味着它们针对的特定属性通常是恶意软件或攻击性工具（例如Mimikatz的命令行参数）的唯一属性；也可以是鲁棒/健壮的（robust），这意味着它们针对的是多个恶意软件样本或工具共享的行为。

无论哪种检测类型都会有不足。“精确检测”很容易被规避，因为它们往往过于具体，这意味着对目标样本的任何修改都会导致误报。例如，攻击者将Mimikatz的参数字符串从“sekurlsa::logonpasswords”修改成“nothings::happening_here”，就能轻松破坏检测逻辑。

“鲁棒检测”虽看上去不太容易被规避，但却存在极大的误报性，导致规则中的排除项被攻击者滥用。例如，将Chrome更新进程“GoogleUpdate.exe”排除在凭据转储检测之外，允许攻击者伪装成更新助手或注入其中，以在不被检测的情况下提取凭据。

响应处置阶段的检测规避

网络威胁响应处置的过程因组织而异，但通常都包括分类、调查和响应阶段。这个过程的复杂性催生了许多不同的故障点。

第一类规避通常发生在“分类阶段”。在此阶段，1级分析人员接收到警报并错误地将其标记为假阳性。这将导致尽管XDR正在执行其工作，但该行为仍未被注意到。这种失败可能源于警报疲劳，或者缺乏对检测目的和信息含义的理解。

有效警报发出后就会正式进入“调查阶段”，以更具体地确定警报是否值得升级为全面事件。该过程通常是手动的，需要技能娴熟的分析人员查询有问题的系统并提取支持信息。由此会产生许多与调查人员和攻击者技能相关的故障点。例如，如果分析人员需要检查磁盘上的文件，但攻击者已经先发制人地删除了该文件，会发生什么情况？如果需要内存取证，但攻击者已经重启了系统怎么办？解决这些故障点需要强有力的支持文档，例如在疑似阳性警报事件中应该收集什么以及该信息的含义。

最后，在警报被确认为真正的有效事件并宣布发生事件之后，便正式进入“响应阶段”，并涉及驱逐威胁行为者。在此阶段面临的最大错误是，防御团队错误地判断事件的范围，导致不完全驱逐，并允许攻击者在环境中持续存在很长时间。

防范XDR检测规避的4点建议

针对以上安全防护挑战，增强XDR系统的应用可靠性，研究人员给企业组织提出以下可参考建议：

1、积极利用威胁情报

研究发现，整合最新的威胁内容和情报将使得EDR/XDR系统变得更加可靠。企业组织应该积极利用威胁情报内容，并定期分析新兴趋势，及时了解不断变化的威胁态势。这有助于主动识别新的恶意软件变体和攻击手法，确保及时检测发现和响应。此外，加强与针对特定行业的信息共享平台合作，可以为企业提供更有效的信息，有助于了解最新的攻击技术和攻陷指标。

2、构建纵深防御体系

由于EDR/XDR检测绕过难以避免，因此企业需要协同其他安全工具来防止未授权访问。在网络安全领域中，纵深防御代表着一种更加系统、积极的防护战略，它要求合理利用各种安全技术的能力和特点，构建形成多方式、多层次、功能互补的安全防护能力体系，以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。目前，纵深防御已经成为现代企业网络安全建设中的基本性原则之一，包括了部署网络分段、防火墙规则、入侵防御系统和反恶意软件解决方案。

3、完善事件响应计划

对于现代企业组织来说，必须时刻准备好应对突发的网络安全事件。在严重安全事件发生时，需要能够第一时间制定应急处置方案，充分调动内外部团队资源，并让所有成员明确自己的任务。因此，提前制定专门针对网络威胁事件的全面事件响应计划至关重要。这包括用于隔离受感染系统、遏制传播以及从安全备份恢复关键数据的预定义步骤。企业还应该主动测试响应计划的有效性，通过反复的练习，不断优化改进安全事件响应计划。

4、增强网络安全弹性

不断发生的勒索攻击和供应链攻击都证明了，在网络安全世界中，弹性比以往任何时候更加重要。虽然部署EDR/XDR等防御能力仍然不可或缺，但这还远远不够。面对当今包罗万象、不断演变的威胁场景，需要将网络风险防护策略深入到整个组织，同时还要提升敏捷性。要想增强网络安全弹性，不仅仅是网络安全团队的事情，而是关乎整个企业的事情。要实现这一目标，就需要整个组织的网络安全知识、技能和意识得到持续提升。