内容摘要：近日，安全研究员Shmuel Cohen在Black Hat Asia大会上展示了如何用逆向工程破解Palo Alto Networks的Cortex XDR安全软件，并将其转换为隐蔽持久的“超级恶意

近日，研究安全研究员Shmuel Cohen在Black Hat Asia大会上展示了如何用逆向工程破解Palo Alto Networks的把造成Cortex XDR安全软件 ，并将其转换为隐蔽持久的全工“超级恶意工具“
，用于部署后门程序和勒索软件。具改这一发现凸显了EDR/XDR等强大安全工具的超级潜在风险，也为网络安全防御敲响了警钟。恶意

XDR（Extended Detection and 软件Response）是一种集成了威胁检测 
、调查和响应功能的研究安全解决方案，源码库能够为企业提供全面的把造成安全防护。然而 ，全工强大的具改功能也伴随着潜在的风险。Shmuel Cohen的超级研究表明 ，EDR/XDR本身也可能成为攻击者的恶意目标，被用来实施恶意攻击。软件

Cohen通过逆向工程和分析Cortex XDR软件 ，建站模板研究发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了Cortex XDR的安全机制（包括机器学习检测模块、行为模块规避 、实时预防规则以及防止文件篡改的过滤驱动程序保护）。

具体来说，Cohen做到以下几件事：

修改了XDR的安全规则 ，使其无法检测到他的模板下载恶意活动 。部署了后门程序，使他能远程控制受感染的计算机。植入了勒索软件 ，向受害者索取赎金。敏感用户账号泄露在系统中长期驻留（无法从管理界面远程删除）整机加密（FUD）完整的LSASS内存转储隐藏恶意活动通知绕过XDR管理员密码全面利用XDR实施攻击

Cohen指出，虽然Palo Alto Networks与其合作修复了漏洞并发布补丁程序，但其他XDR平台也很可能存在类似的漏洞，容易受到攻击 。服务器租用

Cohen的攻击证明 ，即使是像Palo Alto Cortex XDR这样的知名安全软件也并非绝对安全
。

安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“
：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落
。

例如 ，亿华云为了跨IT系统执行实时监控和威胁检测  ，XDR需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除 。

这意味着一旦攻击者能够利用安全软件的漏洞，就可将其变成杀伤力极大的攻击武器。因此 ，企业在部署EDR/XDR等安全解决方案时 ，香港云服务器需要提高警惕
，加强安全管理 ，并定期进行安全评估和漏洞修复  。