Os atores de ameaças estão tentando usar indevidamente a ferramenta EDRSilencer de código aberto como parte dos esforços para interromper a detecção e soluções de endpoint (EDR) e ocultar atividades maliciosas.
A Trend Micro disse que encontrou “atores de ameaças tentando integrar o EDRSilencer em seus ataques, e fazendo isso como uma forma de evitar a detecção”.
O EDRSilencer, inspirado na ferramenta NightHawk FireBlock do MDSec, foi projetado para bloquear o tráfego de saída usando processos EDR usando a Windows Filtering Platform (WFP).
Ele suporta o encerramento de vários processos relacionados a produtos EDR da Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab e Trend Micro.
Ao incluir ferramentas oficiais do red team em seu repositório, o objetivo é desabilitar o software EDR e tornar mais desafiador a identificação e remoção de malware.
“O WFP é uma estrutura poderosa integrada ao Windows para criar aplicativos de filtragem e segurança”, disseram os pesquisadores da Trend Micro. “Ele fornece APIs para desenvolvedores definirem regras personalizadas para monitorar, bloquear ou modificar o tráfego de rede com base em vários critérios, como endereços IP, portas, protocolos e aplicativos”.
“O WFP é usado em firewalls, software antivírus e outras soluções de segurança para proteger sistemas e redes.”
O EDRSilencer aproveita o WFP identificando dinamicamente usando processos EDR e criando filtros WFP persistentes para bloquear suas conexões de rede de saída em IPv4 e IPv6, evitando assim que o software de segurança envie telemetria para seus consoles de gerenciamento.
O ataque basicamente funciona verificando o sistema para coletar uma lista de processos em execução que são compatíveis com produtos EDR comuns, seguido pelo uso do EDRSilencer com o argumento “blockedr” (por exemplo, EDRSilencer.exeblockedr) para bloquear o tráfego de saída desses processos configurando filtros do PMA. .
“Isso permite que malware ou outras atividades maliciosas permaneçam sem serem detectadas, aumentando a probabilidade de um ataque bem-sucedido sem detecção ou intervenção”, disseram os pesquisadores. “Isso destaca uma tendência contínua de agentes de ameaças que buscam ferramentas mais eficazes para seus ataques, especialmente aquelas projetadas para desabilitar soluções antivírus e EDR”.
O desenvolvimento ocorre no momento em que o uso de temíveis ferramentas de eliminação de EDR por grupos de ransomware, como AuKill (também conhecido como AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver e Terminator, está aumentando, com esses programas armando drivers vulneráveis para aumentar privilégios e desabilitar processos relacionados à segurança.
“O EDRKillShifter melhora a persistência usando técnicas que garantem sua presença contínua no sistema, mesmo após o comprometimento inicial ter sido descoberto e limpo”, disse a Trend Micro em uma análise recente.
“Ele interrompe significativamente os processos de segurança em tempo real e adapta seus métodos conforme as capacidades de detecção mudam, ficando um passo à frente das ferramentas tradicionais de EDR”.
