新型威胁行为者工具 EDRSilencer 被恶意利用

趋势科技威胁搜寻团队发现了网络攻击中一个令人担忧的新趋势：

犯罪分子正在采用 EDRSilencer，这是一种旨在干扰端点检测和响应 (EDR) 系统的红队工具。

EDRSilencer 最初是作为安全专业人员的工具而开发的，后来被恶意行为者用来阻止 EDR 通信，帮助他们突破安全网。

https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

红队工具变得危险

该工具的工作原理是破坏从 EDR 系统到其管理控制台的遥测和警报传输，从而阻碍恶意软件的识别和删除。

该工具利用 Windows 过滤平台 (WFP)，动态识别系统中活动的 EDR 进程，然后创建过滤器来阻止其出站通信。

这种方法能够阻止 EDR 解决方案报告潜在威胁，从而使其实际上处于盲目状态。

此外，在测试过程中发现，EDRSilencer 会阻止其初始目标列表中不包含的其他进程，表明其具有广泛而灵活的有效性。

EDRSilencer 的运行方式

EDRSilencer 使用了 WFP 框架（Windows 的一个组件，允许开发人员定义自定义网络过滤规则），这表明攻击者巧妙地滥用合法工具来达到恶意目的。

通过阻止与 EDR 进程相关的流量，攻击者可以阻止安全工具发送遥测数据或警报，从而使威胁得以持续存在而不被发现。

该工具的命令行界面为攻击者提供了阻止 EDR 流量的各种选项。选项包括：

blockdr：自动阻止来自检测到的 EDR 进程的流量。

block <path>：阻止来自指定进程的流量。

unblockall：删除该工具创建的所有 WFP 过滤器。

unblock <过滤器 id>：通过 ID 删除特定过滤器。

攻击链：从流程发现到影响

此处的典型攻击链始于进程发现阶段，该工具在此阶段汇编与已知 EDR 产品相关的正在运行的进程列表。

然后，攻击者部署 EDRSilencer 来广泛阻止所有检测到的进程之间的通信，或者选择性地阻止特定进程路径的通信。

权限提升后，该工具会配置 WFP 过滤器以阻止 IPv4 和 IPv6 流量的出站通信。

这些过滤器是持久性的，即使在系统重启后仍保持活动状态。

一旦 EDR 通信被阻止，恶意行为者就可以自由地执行恶意负载，而被发现的风险较低。

在 Trend Micro 自己的测试中，观察到 EDRSilencer 可以有效阻止端点活动日志到达管理控制台，从而使攻击保持隐蔽。

安全建议

Trend Micro 的发现凸显了网络犯罪分子利用合法红队工具进行恶意攻击的趋势日益明显。

禁用 EDR 功能后，实体将更容易受到勒索软件和其他形式的恶意软件的更大范围破坏。

为了防御 EDRSilencer 之类的工具，趋势科技建议采取以下措施：

多层安全控制：采用网络分段来限制横向移动，并利用结合防火墙、入侵检测、防病毒和 EDR 解决方案的纵深防御策略。

增强的端点安全：使用行为分析和应用程序白名单来检测异常活动并限制未经授权的软件的执行。

持续监控和威胁搜寻：主动搜索妥协指标 (IoC) 和高级持续性威胁 (APT)。

严格的访问控制：实施最小特权原则来限制对网络敏感区域的访问。

原文始发于微信公众号（网络研究观）：新型威胁行为者工具 EDRSilencer 被恶意利用