Atacantes estão tentando abusar da ferramenta open-source EDRSilencer como parte de esforços para adulterar soluções de endpoint detection and response (EDR) e ocultar atividades maliciosas.
A Trend Micro disse que detectou "atores de ameaças tentando integrar o EDRSilencer em seus ataques, reutilizando-o como um meio de evadir detecção." O EDRSilencer, inspirado pela ferramenta NightHawk FireBlock da MDSec, é projetado para bloquear o tráfego de saída dos processos de EDR em execução usando a Windows Filtering Platform (WFP).
Ele suporta a terminação de vários processos relacionados a produtos de EDR de empresas como Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab e Trend Micro.
Ao incorporar tais ferramentas legítimas de red teaming em seu arsenal, o objetivo é tornar o software de EDR ineficaz e tornar muito mais desafiador identificar e remover malware.
"A WFP é uma estrutura poderosa integrada ao Windows para criar aplicações de filtragem de rede e segurança," disseram os pesquisadores da Trend Micro.
Ela fornece APIs para desenvolvedores definirem regras personalizadas para monitorar, bloquear ou modificar o tráfego de rede com base em vários critérios, como endereços IP, portas, protocolos e aplicações. A WFP é usada em firewalls, software antivírus e outras soluções de segurança para proteger sistemas e redes.
O EDRSilencer tira vantagem da WFP identificando dinamicamente processos de EDR em execução e criando filtros WFP persistentes para bloquear suas comunicações de rede de saída, tanto IPv4 quanto IPv6, impedindo assim que o software de segurança envie telemetria para seus consoles de gerenciamento.
O ataque basicamente funciona escaneando o sistema para reunir uma lista de processos em execução associados a produtos EDR comuns, seguido pela execução do EDRSilencer com o argumento "blockedr" (por exemplo, EDRSilencer.exe blockedr) para inibir o tráfego de saída desses processos configurando filtros WFP.
"Isso permite que malware ou outras atividades maliciosas permaneçam não detectadas, aumentando o potencial para ataques bem-sucedidos sem detecção ou intervenção," disseram os pesquisadores.
Isso destaca a tendência contínua de atores de ameaças buscando ferramentas mais eficazes para seus ataques, especialmente aquelas projetadas para desabilitar soluções antivírus e EDR.
Essa evolução surge enquanto o uso de ferramentas poderosas de eliminação de EDR por grupos de ransomware, como AuKill (conhecido também como AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver e Terminator, está em ascensão, com esses programas explorando drivers vulneráveis para escalar privilégios e terminar processos relacionados à segurança.
"O EDRKillShifter aprimora mecanismos de persistência empregando técnicas que garantem sua presença contínua no sistema, mesmo após os comprometimentos iniciais serem descobertos e limpos," a Trend Micro disse em uma análise recente.
Ele interrompe dinamicamente os processos de segurança em tempo real e adapta seus métodos à medida que as capacidades de detecção evoluem, ficando um passo à frente das ferramentas tradicionais de EDR.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...