Los actores maliciosos están intentando abusar de la herramienta de código abierto EDRSilencer como parte de los esfuerzos para alterar las soluciones de detección y respuesta de endpoints (EDR) y ocultar la actividad maliciosa.
Trend Micro dijo que detectó “actores de amenazas que intentaban integrar EDRSilencer en sus ataques, reutilizándolo como un medio para evadir la detección”.
EDRSilencioinspirado en el Bloque de fuego NightHawk de MDSec, está diseñado para impedir que el tráfico saliente ejecute procesos EDR utilizando la plataforma de filtrado de Windows (PAM).
Admite la terminación de varios procesos relacionados con productos EDR de Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab y Trend Micro.
Al incorporar estas herramientas legítimas de red teaming a su arsenal, el objetivo es hacer que el software EDR sea ineficaz y hacer que sea mucho más difícil identificar y eliminar el malware.
“WFP es un potente marco integrado en Windows para crear aplicaciones de seguridad y filtrado de red”, dijeron los investigadores de Trend Micro. dicho. “Proporciona API que permiten a los desarrolladores definir reglas personalizadas para monitorear, bloquear o modificar el tráfico de red en función de diversos criterios, como direcciones IP, puertos, protocolos y aplicaciones”.
“PAM se utiliza en firewalls, software antivirus y otras soluciones de seguridad para proteger sistemas y redes”.
EDRSilencer aprovecha WFP identificando dinámicamente los procesos EDR en ejecución y creando filtros persistentes de WFP para bloquear sus comunicaciones de red salientes a través de IPv4 e IPv6, evitando que el software de seguridad envíe telemetría a sus consolas de administración.
Básicamente, el ataque funciona escaneando el sistema para recopilar una lista de procesos en ejecución asociados con productos EDR comunes, luego ejecuta EDRSilencer con el argumento “blockedr” (por ejemplo, EDRSilencer.exe bloqueado) para evitar que el tráfico salga de estos procesos mediante la configuración de filtros WFP. .
“Esto permite que el malware u otra actividad maliciosa pasen desapercibidos, lo que aumenta el potencial de ataques exitosos sin detección ni intervención”, dijeron los investigadores. “Esto pone de relieve la tendencia actual de los actores maliciosos a buscar herramientas más eficaces para sus ataques, en particular aquellas diseñadas para desactivar las soluciones antivirus y EDR. »
Este desarrollo se produce cuando el uso por parte de los grupos de ransomware de formidables herramientas de destrucción de EDR como AuKill (también conocido como AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver y Terminator está en aumento, con estos programas haciendo campaña para que los controladores vulnerables eleven los privilegios y finalicen los procesos relacionados con la seguridad.
“EDRKillShifter mejora los mecanismos de persistencia mediante el empleo de técnicas que garantizan su presencia continua dentro del sistema, incluso después de que se descubren y limpian los compromisos iniciales”, Trend Micro dicho en un análisis reciente.
“Interrumpe dinámicamente los procesos de seguridad en tiempo real y adapta sus métodos a medida que evolucionan las capacidades de detección, manteniéndose por delante de las herramientas EDR tradicionales. »