Az EDRSilencer tool-t támadásokban használják
Az EDRSilencer nevű, red team feladatokhoz használt eszközt olyan rosszindulatú kibertevékenységekben figyelték meg, amelyek során megpróbálják azonosítani a telepített biztonsági eszközöket, és elnémítani azok riasztásait. A Trend Micro kiberbiztonsági vállalat kutatói szerint a támadók az EDRSilencer-t próbálják beépíteni a támadásokba, hogy kikerüljék az észlelést.
Az EDR (Endpoint Detection and Response) eszközök olyan biztonsági megoldások, amelyek figyelik és védik az eszközöket a kiberfenyegetésektől. Fejlett analitikát és folyamatosan frissített intelligenciát használnak az ismert és új fenyegetések azonosítására, és automatikusan reagálnak, miközben részletes jelentést küldenek a védőknek a fenyegetés eredetéről, hatásáról és terjedéséről. Az EDRSilencer egy nyílt forráskódú eszköz, amelyet az MdSec NightHawk FireBlock, egy saját fejlesztésű pentesztelő eszköz ihletett, amely érzékeli a futó EDR-folyamatokat, és a Windows Filtering Platform (WFP) segítségével figyeli, blokkolja vagy módosítja az IPv4 és IPv6 kommunikációs protokoll hálózati forgalmát.
A WFP-t jellemzően biztonsági termékekben, például tűzfalakban, vírusirtókban és más biztonsági megoldásokban használják. Egyéni szabályokkal a támadó megszakíthatja az EDR eszköz és a menedzsment szerver közötti folyamatos adatcserét, megakadályozva a riasztások és a részletes telemetriai jelentések kézbesítését. Legújabb verziójában az EDRSilencer 16 modern EDR-eszközt ismer fel és blokkol, többek között a Microsoft Defender-t, a SentinelOne-t, a FortiEDR-t, vagy a TrendMicro Apex One-t.
A TrendMicro EDRSilencerrel végzett tesztjei azt mutatták, hogy néhány érintett EDR eszköz még mindig képes lehet jelentést küldeni, mivel egy vagy több futtatható fájljuk nem szerepel az eszközé hard coded listáján. Az EDRSilencer azonban lehetőséget ad a támadóknak arra, hogy fájlútvonalak megadásával szűrőket adjanak hozzá konkrét folyamatokhoz, így a célzott folyamatok listája kiterjeszthető a különböző biztonsági eszközökre. „Miután további, a hard coded listán nem szereplő folyamatokat azonosítottak és blokkoltak, az EDR-eszközök nem küldtek logokat, ami megerősíti az eszköz hatékonyságát” – áll a Trend Micro jelentésben. „Ez lehetővé teszi, hogy a rosszindulatú programok vagy más rosszindulatú tevékenységek észrevétlenek maradjanak, növelve a sikeres támadások lehetőségét észlelés vagy beavatkozás nélkül” – állítják a kutatók.
