新的过程注入技术未被主流EDR解决方案检测到

文章重点

最新研究显示，主流EDR解决方案未能检测到新的“池派对”过程注入技术。该技术利用Windows线程池执行恶意代码。软件供应商需不断进化其EDR解决方案，以应对威胁行为者的创新手段。

在SecurityWeek的报道中指出，微软、SentinelOne、CrowdStrike、Cybereason 和 Palo Alto Networks 的EDR终端检测与响应解决方案未能检测或防止八种新的过程注入技术，这些技术利用 Windows 线程池来执行恶意代码，称为“池派对”。据 SafeBreach 报告，最初被发现的池派对技术涉及利用工作工厂的启动例程，而其他技术则利用任务、I/O 完成和定时队列。

这些发现表明，软件供应商应在面对威胁行为者持续开发新型且日益复杂的过程注入技术时，持续改进其EDR解决方案。SafeBreach 指出：“复杂的威胁参与者将继续探索新颖且创新的过程注入方法，安全工具供应商和从业者必须积极防范。” SafeBreach 已向使用 ED 解决方案的所有厂商通报了有关攻击技术的信息。

解决方案提供商检测能力微软未能检测到SentinelOne未能检测到CrowdStrike未能检测到Cybereason未能检测到Palo Alto Networks未能检测到

“复杂的威胁参与者将继续探索新型方法，安全实践必须保持主动。”

clash官网下载

通过此研究，行业内各方应意识到，随着技术的进步和威胁的演变，只有不断更新和优化安全防护措施，才能有效抵御潜在的网络攻击。