查看: 25287|回复: 64
收起左侧

[技术原创] Elastic Defend EDR评测(2023重制版)

  [复制链接]
神龟Turmi
发表于 2023-1-3 05:52:08 | 显示全部楼层 |阅读模式
本帖最后由 神龟Turmi 于 2023-1-3 10:43 编辑

在2021年,我曾经简单的提过一嘴Elastic Endpoint Security,现在已经更名为Elastic Defend。
https://bbs.kafan.cn/thread-2204490-1-1.html
现在已经过去了大概两年,我觉得现在回过头对他们这两年做了什么,到底是否有成效来做一个盖棺定论是比较公平和合理的。
所以让我们开始重制版的评测。

本评测仅发布于卡饭论坛,除卡饭公众号外不允许任何形式的转载,如果发现转载行为请告知我,谢谢!


首先在开始之前,我们先看一下这家公司是什么来头。
Elasticsearch B.V.是一家注册在美国加州山景城的互联网公司,他们的拳头产品是ElasticSearch,一个以企业搜索为主要功能的“开源软件”,有相当多的公司使用ElasticSearch来进行日志分析和大数据用途。
2019年6月,他们斥资2.34亿美元收购了另一家初创的安全公司Endgame(他们被收购之前曾经参加过AVC,可以通过AVC当时的企业级年报来看到他们的产品面目),正式入局安全行业,在2021年初他们将Endgame的产品融入到了他们ElasticSearch的框架中,并推出了ElasticAgent用于快速部署,然后Endgame这个名字也和它的名字一样的End了。

目前,安全软件的“开源”方案基本只有两个选择,一个是由Cisco推出的ClamAV,仅提供纯命令行调用的引擎,另一个就是Elastic Defend,提供了完整的安全方案(包括NGAV和EDR)。
不过要注意一个事情,ClamAV使用GPLv2开源协议发布,所以作为一个开源软件它没有任何异议的被用在了各种地方。而Elastic的产品线使用Elastic License 2(曾经还使用过MongoDB同款的SSPL协议)发布,而这个协议是否能被称为开源协议存在一些不同的声音。
Elastic License 2和其他主流开源协议的差异是,EL2允许你修改和重新发布它的源代码,同时允许商用和非商用,也不要求你开源你修改之后的代码,但是明确的规定了你不能移除Elastic的LOGO等其他的版权信息以及不能提供托管服务。
这个不能提供托管服务,简单的理解就是你可以作为MSP厂商帮其他公司安装和部署Elastic的软件,但是对方公司必须直接使用ElasticSearch,而不能是你直接提供了某个服务让他们来访问而根本不接触到ElasticSearch这个产品。
业内不少人认为这样的协议并不能算作“开源软件”,因为他“开源”了但是并不“自由”。
在这里我不想太多的讨论到关于他是不是开源软件,我更多的在意他目前作为一个免费的安全方案是否足够。

我一直在关注Elastic的发展,就是因为他们的ElasticSearch以及Kibana控制台本身非常适合作为EDR使用,这是其它专精安全的公司都不能提供的东西。但是很可惜的是,他们作为一家商业公司而不是开源基金会,他们一直在想办法的盈利而不是单纯的做“公益”,所以在2022年开始他们将很多新的功能列入了付费版本专属,不再是开源版本=完整版本(之前也有XPACK这种付费功能,但对于安全来说没有差异)。
以下是我整理的版本差异(仅统计和安全相关的内容)
开源版 闭源免费版 白金版
NGAV
EDR
行为反勒索 × ×
内存威胁防护 × ×
技术支持 × √(有限)

因为我这边想体验一下它的完全体,看看在目前的环境下效果是什么样,所以这边我决定用付费版本。
然后又因为付费版本购买有难度,再加上考虑到我对ES的了解程度仅仅是会用,担心因为部署错误导致影响效果,这边我直接使用由AWS(亚马逊云)提供的云端预部署EFK(Elastic+Fleet+Kibana,作为安全使用不需要Logstash)来进行评测。
使用到的配置如下:
EC2.c6gd / 2核心保证,8核心突发(ARM) / 6GB内存 / 35GB SSD+840GB 冷存储
ElasticSearch白金版
在这个配置下,不考虑传出流量产生的费用是33.408美元/月,考虑到目前企业级安全软件的价格(作为对比CrowdStrike完全版本为200美元/设备/年)我认为是可以接受的程度。毕竟它只按照使用的资源高低来收取费用,只要你的配置足够高,理论上可以部署无限制个终端。

首先,进入Elastic后台(或者叫做Kibana)之后从菜单进入Integrations,然后找到Elastic Defend,

点击Add Elastic Defend按钮将它添加到你的Fleet。

添加之后,除了要给它起个名字之外,你还需要选择你需要的是哪种类型的功能,

这里我们考虑到云服务器只有35GB的SSD,选择Essential EDR (Endpoint Detection & Response)。
如果你只需要他作为一个基本的杀毒软件,选择NGAV即可,此时它消耗的磁盘资源可以说是忽略不计的。
虽然我还没有开始测试样本,但是我未卜先知一下,Elastic作为一个纯机器学习+行为的安全软件,不像CrowdStrike有云端的拉黑和频繁的更新,在脱离了EDR的情况下效果并不会很好,至少我个人不建议将不包括EDR的版本作为常规安全方案使用。

添加完成之后,我们回到Policy就可以看到刚添加的Integrations(我起名为Defend-EDR),

在这里可以修改一些设置,比如反病毒、反勒索、内存威胁防护的开关以及触发的行为。
如果设置为Detect则只会检测并记录但不会拦截,如果设置为Prevent则在检测到时会自动阻止进程的运行。
底下的Notify user如果打开,在触发时会在客户端显示一条信息来提示用户。

底部有一个比较重要的功能,打开之后Elastic Defend将被注册为安全软件,同时将关闭Windows Defender。
在评测过程中我们打开它,这样WD就不会干扰到我们后面的测试。

完成这边的基本设置之后,还有一个进阶的设置,就是Security-Rules,

在这里可以看到很多由Elastic提供的规则,以及第三方厂商提供的规则(需要配合对方公司的软件使用),还可以创建自定义的规则(YARA等语法)。
为了评测需要,我们只打开Elastic提供的规则。

完成全部的设置之后,我们现在就可以添加终端了。
到Elastic官网下载ElasticAgent并且传输到设备上备用,然后打开Fleet点击Add Agent,

可以看到Elastic自动生成好了需要执行的命令,cd到Agent目录输入对应的命令即可。

执行完毕之后,一切正常的话等待几分钟让它同步规则,然后就可以看到Elastic替代了Windows Defender出现在了你的安全中心里。

这时候客户端的部署就已经完成了,虽然说设置有些繁琐,但是对于客户端部署来说可以说是企业级里最简单的了,而且因为是命令行执行,非常适合大量的设备批量的部署。

第一个测试我们找隔壁安全实验室薅了一个还没有广泛传播的假TG,

Elastic拦截了样本释放的dll后样本报错退出。

另外一提,Elastic是截止我测试VT上唯一一个检出这个样本的安全软件。


然后我们再来看看Elastic后台,

可以看到是静态的机器学习干掉了这个样本。


从时间轴我们可以看到样本干的所有事情,包括释放的文件,虽然Elastic只杀掉了衍生物的DLL阻断了样本的运行,但是依然可以通过这个时间轴对着清理其余衍生物,这是很多“专精”安全的软件所不具备的能力。


顺着时间轴我们很容易的就找到了其余的衍生物,也就可以顺带清理掉了。

然后我们测试的样本来自于https://bbs.kafan.cn/thread-2249362-1-1.html的AVG白加黑远控,

样本成功释放出了AVG的exe衍生物,然后再运行白加黑时被EDR检测到Shellcode注入拦截。

从Elastic后台可以看到虽然EDR检测到了Shellcode注入,但是慢了一拍。
不过结果一切都好,因为内存威胁防护检测到了Metasploit特征并且抢先一步已经结束掉了样本。
考虑到我们可能在生产环境遇到这些问题,所以我们看一下有什么补救措施。

看起来样本已经发出去了一个数据包,向首尔腾讯云的IP。但是看到数据量并不大,这应该并不会造成数据泄露问题,警报解决。
这时候就可以看出基于行为的0信任安全方案的优势了,对于白加黑效果奇佳。

第三个样本我们测试来自https://bbs.kafan.cn/thread-2249380-1-1.html的勒索,

刚解压就没了,说明Elastic Defend并不只能提供运行时保护,在读取时一样可以触发。
这个就没有什么好看的了,平平无奇的秒杀。

第四个样本我们测试来自https://bbs.kafan.cn/thread-2249185-1-1.html的勒索,

一样平平无奇的秒杀。

第五个样本我们测试来自https://bbs.kafan.cn/thread-2249162-1-1.html的白加黑远控,

解压并没有反应,双击杀掉了dll结束。

也是NGAV干的,可能是NGAV不会扫描dll文件,只有当它加载时才会触发。

最后一个样本我们测试来自https://bbs.kafan.cn/thread-2249366-1-1.html的远控,

平平无奇的秒杀。

最后做个总结吧,Elastic Defend的强度总体来看是够用了的,毕竟除了不方便双击的furoot没测之外随手拿的样本都被轻松的解决掉了。
至于这个结果值不值得入白金版,就见仁见智了。

从刚才测试的过程来看,这个配置的ES配合一个终端做EDR是严重过剩的,如果有大量设备的话性价比将大幅提高。
当然,作为NGAV当一个补充保护+安装在本地机器上白嫖开源版也是个不错的选择。

就酱,也算填了一个坑吧。。。毕竟当年的测试实在是太不走心+业余了。。。告辞。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 18原创 +1 分享 +3 人气 +46 收起 理由
Jerry.Lin + 3 版区有你更精彩: )
欧阳宣 + 3 精品文章
yy688go + 1 版区有你更精彩: )
megakotaro + 1 GREAT
a286282313 + 3

查看全部评分

asbjdj
发表于 2023-1-3 07:56:37 | 显示全部楼层
捉个虫,第一个Elastic License 2少写个"a"

评分

参与人数 1人气 +3 收起 理由
神龟Turmi + 3 ...

查看全部评分

蓝泽祈
头像被屏蔽
发表于 2023-1-3 09:17:56 | 显示全部楼层
现在企业都开始搞EDR了么,我的思想还停留在antivirus层面
Miostartos
发表于 2023-1-3 09:22:04 | 显示全部楼层
快去写comodo的开源EDR评测
神龟Turmi
 楼主| 发表于 2023-1-3 09:43:50 | 显示全部楼层
蓝泽祈 发表于 2023-1-3 09:17
现在企业都开始搞EDR了么,我的思想还停留在antivirus层面

EDR我的理解里最重要的不是D 而是R
是个安全软件都无法做到100%即时拦截,但是通过EDR提前抓取的行为,后期Response还原恶意行为的更改以最小化损失和取证用,应该算是以后的主流路子了
当然还有安克诺斯那种拿自动备份替代EDR的野路子

评分

参与人数 1人气 +2 收起 理由
蓝泽祈 + 2 感谢解答: )

查看全部评分

wangyuhe
发表于 2023-1-3 09:52:08 | 显示全部楼层
怎么整个免费版,上官网没找到
神龟Turmi
 楼主| 发表于 2023-1-3 09:54:47 | 显示全部楼层
本帖最后由 神龟Turmi 于 2023-1-3 09:56 编辑
wangyuhe 发表于 2023-1-3 09:52
怎么整个免费版,上官网没找到

https://www.elastic.co/cn/downloads/enterprise-search
准备一个4GB以上内存的机器安装 CPU对于数据量不大的情况下倒是没什么要求
当然最简单的方法是
  1. docker pull docker.elastic.co/enterprise-search/enterprise-search:8.5.3
复制代码
LeeHS
发表于 2023-1-3 10:30:34 | 显示全部楼层
请问这款EDR的反勒索能力怎么样?CrowdStrike真的是。。一言难尽
神龟Turmi
 楼主| 发表于 2023-1-3 10:32:08 | 显示全部楼层
LeeHS 发表于 2023-1-3 10:30
请问这款EDR的反勒索能力怎么样?CrowdStrike真的是。。一言难尽

我卡饭样本区找了一圈 并没有找到能过掉它NGAV的勒索
所以暂时没机会测
LeeHS
发表于 2023-1-3 10:44:18 | 显示全部楼层
神龟Turmi 发表于 2023-1-3 10:32
我卡饭样本区找了一圈 并没有找到能过掉它NGAV的勒索
所以暂时没机会测

之前Magniber CrowdStrike双击之后能杀,但文件已经加密了。现在当然没事了,设置里面的反加密是真的摆设
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 02:25 , Processed in 0.137305 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表