导 读
趋势科技观察到一种名为 EDRSilencer 的红队工具,它试图识别安全工具并关闭其警报。研究人员表示,攻击者正试图将 EDRSilencer 整合到攻击中以逃避检测。
阻止 EDR 产品上报检测日志
端点检测和响应 (EDR) 工具是监控和保护设备免受网络威胁的安全解决方案。
EDR使用先进的分析和不断更新的情报来识别已知和新的威胁,并自动做出响应,同时向防御者发送有关威胁的来源、影响和蔓延的详细报告。
EDRSilencer 是一个开源工具,其灵感来自专有渗透测试工具 MdSec NightHawk FireBlock,它可以检测正在运行的 EDR 进程并使用 Windows 过滤平台 (WFP) 来监控、阻止或修改 IPv4 和 IPv6 通信协议上的网络流量。
WFP 通常用于防火墙、防病毒和其他安全解决方案等安全产品中,并且平台中设置的过滤器是持久的。
通过设置自定义规则,攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换,从而阻止传递警报和详细的遥测报告。
在最新版本中,EDRSilencer 可以检测并阻止 16 种现代 EDR 工具,包括:
-
Microsoft Defender
-
SentinelOne
-
FortiEDR
-
Palo Alto Networks Traps/Cortex XDR
-
Cisco Secure Endpoint (formerly AMP)
-
ElasticEDR
-
Carbon Black EDR
-
TrendMicro Apex One
阻止硬编码可执行文件的流量
TrendMicro 对 EDRSilencer 的测试表明,一些受影响的 EDR 工具可能仍然能够发送报告,因为它们的一个或多个可执行文件未包含在红队工具的硬编码列表中。
然而,EDRSilencer 通过提供文件路径为攻击者提供了为特定进程添加过滤器的选项,因此可以扩展目标进程列表以涵盖各种安全工具。
趋势科技在报告中解释道:“在识别并阻止硬编码列表中未包含的其他进程后,EDR 工具未能发送日志,从而证实了该工具的有效性。”
研究人员表示:“这使得恶意软件或其他恶意活动无法被发现,增加了在不被发现或干预的情况下成功攻击的可能性。”
EDRSilencer 攻击链
TrendMicro 针对 EDRSilencer 的解决方案是将该工具检测为恶意软件,并在其允许攻击者禁用安全工具之前将其阻止。
此外,研究人员建议实施多层安全控制来隔离关键系统并创建冗余,使用提供行为分析和异常检测的安全解决方案,寻找网络上的入侵指标,并应用最小特权原则。
技术报告:https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html
链接:
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):趋势科技报告红队工具 EDRSilencer 被威胁组织利用,以绕过安全措施进行攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论