Ferramenta Red Team ameaça segurança
16 de Outubro de 2024

Uma ferramenta destinada a operações de red-team, chamada EDRSilencer, tem sido observada em incidentes maliciosos tentando identificar ferramentas de segurança e silenciar seus alertas para consoles de gerenciamento.

Pesquisadores da empresa de cibersegurança Trend Micro afirmam que atacantes estão tentando integrar o EDRSilencer em ataques para evitar detecção.

As ferramentas de Endpoint Detection and Response (EDR) são soluções de segurança que monitoram e protegem dispositivos contra ameaças cibernéticas.

Elas utilizam análise avançada e inteligência constantemente atualizada para identificar ameaças, conhecidas e novas, e respondem automaticamente, enviando um relatório detalhado aos defensores sobre a origem, impacto e propagação da ameaça.

EDRSilencer é uma ferramenta de código aberto inspirada pelo MdSec NightHawk FireBlock, uma ferramenta proprietária de pen-testing, que detecta processos EDR em execução e usa o Windows Filtering Platform (WFP) para monitorar, bloquear ou modificar o tráfego de rede nos protocolos de comunicação IPv4 e IPv6.

O WFP é tipicamente utilizado em produtos de segurança como firewalls, antivírus e outras soluções de segurança, e os filtros definidos na plataforma são persistentes.

Com regras personalizadas no lugar, um atacante pode interromper a troca constante de dados entre uma ferramenta EDR e seu servidor de gerenciamento, impedindo a entrega de alertas e relatórios de telemetria detalhados.

Na sua última versão, o EDRSilencer detecta e bloqueia 16 ferramentas modernas de EDR, incluindo:

- Microsoft Defender
- SentinelOne
- FortiEDR
- Palo Alto Networks Traps/Cortex XDR
- Cisco Secure Endpoint (anteriormente AMP)
- ElasticEDR
- Carbon Black EDR
- TrendMicro Apex One

Os testes da TrendMicro com o EDRSilencer mostraram que algumas das ferramentas EDR impactadas ainda podem ser capazes de enviar relatórios devido a um ou mais de seus executáveis não estarem incluídos na lista pré-definida da ferramenta de red-team.

No entanto, o EDRSilencer dá aos atacantes a opção de adicionar filtros para processos específicos fornecendo caminhos de arquivo, portanto é possível estender a lista de processos visados para abranger várias ferramentas de segurança.

"Após identificar e bloquear processos adicionais não incluídos na lista pré-definida, as ferramentas de EDR falharam ao enviar logs, confirmando a eficácia da ferramenta," explica Trend Micro no relatório.

"Isto permite que malware ou outras atividades maliciosas permaneçam indetectadas, aumentando o potencial para ataques bem-sucedidos sem detecção ou intervenção," dizem os pesquisadores.

A solução da TrendMicro para o EDRSilencer é detectar a ferramenta como malware, interrompendo-a antes que permita aos atacantes desabilitar as ferramentas de segurança.

Além disso, os pesquisadores recomendam a implementação de controles de segurança em múltiplas camadas para isolar sistemas críticos e criar redundância, usar soluções de segurança que fornecem análise comportamental e detecção de anomalias, procurar por indicadores de comprometimento na rede, e aplicar o princípio do privilégio mínimo.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...