四款主流EDR,被一招“参数投毒”给拿下了。
最近一篇安全技术文章,把一种名为“进程参数投毒”(Process Parameter Poisoning)的Windows进程注入手法摆上了台面。它的原理听上去挺直白:篡改进程在创建时所使用的参数,让恶意代码借壳上船,进入合法进程内部执行。这样一来,整个过程就巧妙地避开了端点检测与响应(EDR)产品的监视。
![]()
文章称,这项技术已经在四款主流EDR面前完成了“实战”测试,结果是一水儿地绕过了它们的检测引擎。具体是哪四家不幸中招,作者没有挑明,只用“主流”一词概括。但不点名反而更惹人遐想——能称得上主流EDR的,全球也就那么几家,这次近乎全军覆没。
“参数投毒”这种叫法本身就带着点戏剧性,像是给进程的参数里下了毒药,一点就着。虽然目前还没有看到大规模攻击利用它,但绕过四大EDR这个成绩,足以让安全从业者后背发凉。毕竟,不是每一种注入技巧都能在头部的端点防御上撕开口子的。
接下来,估计EDR厂商得赶紧回去翻看进程创建阶段的监控规则了吧。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.