april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning
februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag
februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa
januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.
FÖRETAGSNYHETER
mobile-menu-icon

Varför är PoolParty viktigt för framtiden av EDR

Blog Reading Time 2 Lästid
/
2 januari 2024
Varför är PoolParty viktigt för framtiden av EDR

Varför är PoolParty viktigt för framtiden av EDR

SafeBreach-forskare har upptäckt åtta nya tekniker för processinjektion som kan användas för att hemlighetsfullt exekvera skadlig kod på Windows-system.

Döpt till ”Pool Party” eftersom de (miss)använder Windows-trådpooler, fungerar dessa processinjektionstekniker över alla processer och gick enligt forskarna obemärkt förbi när de testades mot fem ledande EDR/XDR-lösningar, nämligen: Palo Alto Cortex, SentinelOne EDR, CrowdStrike Falcon, Microsoft Defender For Endpoint och Cybereason EDR.

”Pool Party”-processinjektionstekniker

Processinjektion består vanligtvis av en kedja av tre attackvektorer, förklarade SafeBreach-forskaren Alon Leviev: Allokeringsprimitiven allokerar minne i målprocessen, skrivningsprimitiven skriver skadlig kod till det allokerade minnet, och exekveringsprimitiven exekverar den koden.

EDR:er tillåter de två första stegen av injektion – minnesallokering och skrivning till fjärrprocess – och fokuserar sin detektion på det sista steget: fjärrkörning, säger Tomer Bar, VP of Security Research på SafeBreach. För att lura EDR:er hittade Leviev och hans kollegor ett sätt att skapa en exekveringsprimitiv baserad på de andra två primitiverna.

Problemet, sade Bar till Help Net Security, är att EDR:er baserar sin detektion på identiteten hos processen som utför åtgärden. Om det är en betrodd process tillåter den åtgärden, om inte kommer åtgärden att blockeras, noterade han vilket liknar en supply chain attack.

Han berättade också att ”Pool Party”-attacker kan kringgå ytterligare detektionsmekanismer som ransomware- och lösenordsdumpningsdetektering.

Ett exempel är Microsofts skydd för kontrollerad mappåtkomst, som blockerar alla ändringar eller borttagningar av filer i skyddade mappar. Men ändring är tillåten för vissa processer som explorer.exe, och när vi injicerar ransomkod i den kan vi kringgå skyddet och kryptera alla filer i skyddade mappar, förklarade han.

Vad är lösningen?

Det blir mer och mer tydligt att enbart ha ett EDR verktyg räcker inte till. Det behövs övervakning och det behövs aktiv hotjakt via en SOC/MDR tjänst för att kunna upptäcka märkliga beteenden i applikationer som är ”godkända”

Av: Erik Berg

Jobbar som Säkerhetsarkitekt har jobbat inom IT-säkerhet i 12 år i både privata sektorn och offentlig verksamhet, med Security Operations (Blue Teaming) och som säkerhetschef på flertalet IT-Bolag.

>

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.