ОБХІД EDR У ПОЄДНАННІ З SIEM : АНАЛІЗ МЕТОДІВ ПРИХОВУВАННЯ АТАК У ЛОГАХ - ДОСЛІДЖЕННЯ ТАКТИК, ЩО ВИКОРИСТОВУЮТЬ ЗЛОВМИСНИКИ ДЛЯ УНИКНЕННЯ ДЕТЕКЦІЇ
DOI:
https://doi.org/10.28925/2663-4023.2025.29.865Ключові слова:
Endpoint Detection and Response, Security Information and Event Management, ухилення від виявлення, маніпуляції з журналами, повільні атаки, перевантаження подіями, Living-off-the-Land, обфускація коду, unhooking, ядрові атаки, DKOM, BIOS/UEFI, поведінкова аналітика, міжплатформна телеметрія, кореляція, кіберзагрози, PowerShell, WMIC, CertUtilАнотація
У статті розглядається актуальна проблема — методи обходу систем виявлення та реагування на кінцевих точках (EDR) у поєднанні з платформами управління інформацією та подіями безпеки (SIEM), які є основними компонентами сучасної кіберзахисної інфраструктури. Попри постійне вдосконалення цих технологій, зловмисники також розвивають тактики, що дозволяють уникати виявлення та зберігати присутність у скомпрометованих системах. У статті здійснено класифікацію методів уникнення виявлення, зокрема таких як маніпуляція логами, підробка подій, вимкнення сервісів журналювання та використання малочастотних атак, які не потрапляють у пороги спрацювання систем попередження.
Особлива увага приділена методам, які базуються на концепції «Living-off-the-Land» — використання вбудованих інструментів операційної системи (PowerShell, WMIC, CertUtil) для виконання шкідливого коду з мінімальними індикаторами активності. Також проаналізовано техніки обфускації, включаючи інжекцію зайвого коду, шифрування, перекомпіляцію та застосування кастомних завантажувачів, які дозволяють уникати виявлення як сигнатурними, так і евристичними аналізаторами.
У роботі детально описано й методи атаки на рівні ядра операційної системи, зокрема DKOM (пряма маніпуляція об’єктами ядра), unhooking бібліотек DLL та атаки на рівні UEFI/BIOS, які дозволяють обійти системи моніторингу завдяки роботі поза межами контрольованого середовища ОС. Окремо розглянуто методи уникнення контролю з боку SIEM-систем: очищення логів, підробка часових міток, перевантаження сенсорів та генерація надмірної кількості подій, що ускладнює роботу аналітиків та знижує ефективність реагування.
У роботі наведено приклади із застосуванням популярних рішень, таких як Elastic, Splunk, CrowdStrike та SentinelOne. У підсумку автори роблять висновок про необхідність впровадження поведінкового аналізу, довготривалої кореляції, міжплатформенної телеметрії та моделей машинного навчання як ключових засобів протидії складним технікам уникнення та забезпечення видимості кіберзагроз у сучасному гібридному ІТ-середовищі.
Завантаження
Посилання
Whisper2Shout – Unhooking Technique. (n.d.). https://www.secforce.com/blog/whisper2shout-unhooking-technique/
First UEFI Rootkit Detected in the Wild. (n.d.). https://eset.ua/download_files/marketing/Releases/lojax_
whitepaper.pdf
Turla Rootkits. (n.d.). https://uk.wikipedia.org/wiki/Turla_
Junk Code Insertion. (n.d.). https://www.researchgate.net/figure/Function-Splitting_fig3_371581054
Coccinelle Basic Documentation. (n.d.). https://docs.zephyrproject.org/latest/develop/tools/coccinelle.html
Coccinelle Basic Documentation. (n.d.). https://docs.zephyrproject.org/latest/develop/tools/coccinelle.html
Splunk Documentation. (n.d.). https://docs.splunk.com/Documentation/Splunk/9.4.1/Overview/About
SplunkEnterprise
Elastic Cloud Documentation. (n.d.). https://www.elastic.co/docs/deploy-manage/deploy/elastic-cloud/cloud-hosted
Computrace BIOS Trojan. (n.d.). https://novikov.ua/bios-%D0%BD%D1%8B%D0%B9-%D1%82%D1%80%D0%BE%D1%8F%D0%BD-%D0%BE%D1%82-absolute-software-computrace/
DLL Unhooking. (n.d.). https://unprotect.it/technique/dll-unhooking/
SOC Burnout. (n.d.). https://medium.com/infosec-ninja/sos-for-your-soc-how-to-prevent-burnout-and-boost-retention-7c053b5b71ce
SOC Burnout. (n.d.). https://medium.com/infosec-ninja/sos-for-your-soc-how-to-prevent-burnout-and-boost-retention-7c053b5b71ce
Exploring the Hidden Switches of Certutil and Certreq. (n.d.). https://www.encryptionconsulting.com/exploring-the-hidden-switches-of-certutil-and-certreq/
WMIC Guide. (n.d.). https://learn.microsoft.com/ru-ru/windows/win32/wmisdk/wmic
HookChain: A New Perspective for Bypassing EDR Solutions. (n.d.). https://arxiv.org/abs/2404.16856
Defeating EDR-Evading Malware with Memory Forensics. (n.d.). https://www.volexity.com/wp-content/uploads/2024/08/Defcon24_EDR_Evasion_Detection_White-Paper_Andrew-Case.pdf
AV Bypass Techniques through an EDR Lens. (n.d.). https://blog.f-secure.com/av-bypass-techniques-through-an-edr-lens/
Evolution of Endpoint Detection and Response (EDR) in Cyber Security: A Comprehensive Review. (n.d.). https://www.e3s-conferences.org/articles/e3sconf/abs/2024/86/e3sconf_rawmu2024_01006/
Effectiveness of Endpoint Detection and Response Solutions in Combating Modern Cyber Threats. (n.d.). https://polarpublications.com/index.php/JACSTIC/article/view/1
Bypassing Antivirus Detection: Old-School Malware, New Tricks. (n.d.). https://arxiv.org/abs/2305.04149
XDR: The Evolution of Endpoint Security Solutions – Superior Extensibility and Analytics to Satisfy the Organizational Needs of the Future. (n.d.). https://www.researchgate.net/publication/354190628_XDR
_The_Evolution_of_Endpoint_Security_Solutions_-Superior_Extensibility_and_Analytics_to_Satisfy_
the_Organizational_Needs_of_the_Future
A Taxonomy of Software Obfuscation Techniques for Layered Security. (n.d.). https://cybersecurity.springeropen.com/articles/10.1186/s42400-020-00049-3
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Іван Опірський, Тарас Дзьобан, Святослав Василишин
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
