EDRSilencer, una herramienta frecuentemente utilizada en operaciones del equipo rojoes captado por el lado oscuro en intentos maliciosos de identificar herramientas de seguridad y desactivar alertas de seguridad.
Como herramienta de respuesta y detección de puntos finales de código abierto que detecta procesos EDR que se ejecutan en un sistema, EDRSilencer utiliza la plataforma de filtrado de Windows (WFP) para monitorear, bloquear y modificar el tráfico de red.
La herramienta del equipo rojo es capaz de bloquear 16 herramientas EDR comunes, incluidas Microsoft defensorSentinelOne, FortiEDR, Palto Alto Networks Traps/Cortex XDR y TrendMicro Apex One, entre otros.
Los actores maliciosos detrás de la subversión intentan integrar la herramienta en sus ataques y reutilizarla para evadir la detección. Si tienen éxito, pueden interrumpir el intercambio de datos entre EDRSilencer y su servidor de administración, evitando no solo alertas sino también informes de telemetría detallados. También brinda a los atacantes la capacidad de agregar filtros o evitar ciertas rutas de archivos para evadir la detección.
“La aparición de EDRSilencer como medio para evadir los sistemas de respuesta y detección de endpoints marca un cambio significativo en las tácticas empleadas por los actores de amenazas. » Los investigadores de TrendMicro escribieron en un artículo.. “Al deshabilitar las comunicaciones de seguridad críticas, aumenta el sigilo de la actividad maliciosa, aumentando el potencial de ataques exitosos de ransomware e interrupciones operativas”.
Los investigadores señalan que las organizaciones deben permanecer alerta e implementar mecanismos de detección avanzados, así como estrategias de búsqueda de amenazas para frustrar estas herramientas de evasión.