Uma ferramenta destinada a operações de red-team, chamada EDRSilencer, tem sido observada em incidentes maliciosos tentando identificar ferramentas de segurança e silenciar seus alertas para consoles de gerenciamento.
Pesquisadores da empresa de cibersegurança Trend Micro afirmam que atacantes estão tentando integrar o EDRSilencer em ataques para evitar detecção.
As ferramentas de Endpoint Detection and Response (EDR) são soluções de segurança que monitoram e protegem dispositivos contra ameaças cibernéticas.
Elas utilizam análise avançada e inteligência constantemente atualizada para identificar ameaças, conhecidas e novas, e respondem automaticamente, enviando um relatório detalhado aos defensores sobre a origem, impacto e propagação da ameaça.
EDRSilencer é uma ferramenta de código aberto inspirada pelo MdSec NightHawk FireBlock, uma ferramenta proprietária de pen-testing, que detecta processos EDR em execução e usa o Windows Filtering Platform (WFP) para monitorar, bloquear ou modificar o tráfego de rede nos protocolos de comunicação IPv4 e IPv6.
O WFP é tipicamente utilizado em produtos de segurança como firewalls, antivírus e outras soluções de segurança, e os filtros definidos na plataforma são persistentes.
Com regras personalizadas no lugar, um atacante pode interromper a troca constante de dados entre uma ferramenta EDR e seu servidor de gerenciamento, impedindo a entrega de alertas e relatórios de telemetria detalhados.
Na sua última versão, o EDRSilencer detecta e bloqueia 16 ferramentas modernas de EDR, incluindo:
- Microsoft Defender
- SentinelOne
- FortiEDR
- Palo Alto Networks Traps/Cortex XDR
- Cisco Secure Endpoint (anteriormente AMP)
- ElasticEDR
- Carbon Black EDR
- TrendMicro Apex One
Os testes da TrendMicro com o EDRSilencer mostraram que algumas das ferramentas EDR impactadas ainda podem ser capazes de enviar relatórios devido a um ou mais de seus executáveis não estarem incluídos na lista pré-definida da ferramenta de red-team.
No entanto, o EDRSilencer dá aos atacantes a opção de adicionar filtros para processos específicos fornecendo caminhos de arquivo, portanto é possível estender a lista de processos visados para abranger várias ferramentas de segurança.
"Após identificar e bloquear processos adicionais não incluídos na lista pré-definida, as ferramentas de EDR falharam ao enviar logs, confirmando a eficácia da ferramenta," explica Trend Micro no relatório.
"Isto permite que malware ou outras atividades maliciosas permaneçam indetectadas, aumentando o potencial para ataques bem-sucedidos sem detecção ou intervenção," dizem os pesquisadores.
A solução da TrendMicro para o EDRSilencer é detectar a ferramenta como malware, interrompendo-a antes que permita aos atacantes desabilitar as ferramentas de segurança.
Além disso, os pesquisadores recomendam a implementação de controles de segurança em múltiplas camadas para isolar sistemas críticos e criar redundância, usar soluções de segurança que fornecem análise comportamental e detecção de anomalias, procurar por indicadores de comprometimento na rede, e aplicar o princípio do privilégio mínimo.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...