威胁行为者试图滥用开源 EDRSilencer 工具,作为篡改端点检测和响应 (EDR) 解决方案并隐藏恶意活动的一部分。
趋势科技表示,它检测到“威胁行为者试图将 EDRSilencer 集成到他们的攻击中,将其重新用作逃避检测的手段”。
EDRSilencer 的灵感来自 MDSec 的 NightHawk FireBlock 工具,旨在使用 Windows 筛选平台 (WFP) 阻止正在运行的 EDR 进程的出站流量。
它支持终止与 Microsoft、Elastic、Trellix、Qualys、SentinelOne、Cybereason、Broadcom Carbon Black、Tanium、Palo Alto Networks、Fortinet、Cisco、ESET、HarfangLab 和 Trend Micro 的 EDR 产品相关的各种进程。
通过将此类合法的红队工具纳入他们的武器库,目标是使 EDR 软件无效,并使识别和删除恶意软件更具挑战性。
“WFP 是 Windows 中内置的强大框架,用于创建网络过滤和安全应用程序,”Trend Micro 研究人员说。“它为开发人员提供了 API,以定义自定义规则,以根据各种标准(如 IP 地址、端口、协议和应用程序)监控、阻止或修改网络流量。”
“WFP 用于防火墙、防病毒软件和其他安全解决方案,以保护系统和网络。”
EDRSilencer 通过动态识别正在运行的 EDR 进程并创建持久的 WFP 筛选器来阻止它们在 IPv4 和 IPv6 上的出站网络通信,从而防止安全软件将遥测数据发送到其管理控制台,从而利用 WFP。
该攻击的工作原理是扫描系统以收集与常见 EDR 产品相关的正在运行的进程列表,然后运行带有参数“blockedr”(例如,EDRSilencer.exe blockedr)的 EDRSilencer,以通过配置 WFP 过滤器来禁止来自这些进程的出站流量。
研究人员说:“这使得恶意软件或其他恶意活动无法被发现,从而增加了在没有检测或干预的情况下成功攻击的可能性。“这凸显了威胁行为者寻求更有效的攻击工具的持续趋势,尤其是那些旨在禁用防病毒和 EDR 解决方案的工具。”
这一发展是在勒索软件团伙使用 AuKill(又名 AvNeutralizer)、EDRKillShifter、TrueSightKiller、GhostDriver 和 Terminator 等强大的 EDR 杀戮工具之际发生的,这些程序将易受攻击的驱动程序武器化,以提升权限并终止与安全相关的进程。
“EDRKillShifter 通过采用技术来确保其在系统内持续存在,即使在发现和清除最初的危害之后,EDRKillShifter 也增强了持久性机制,”趋势科技在最近的一项分析中表示。
“它可以实时动态地破坏安全流程,并随着检测能力的发展调整其方法,从而领先于传统的 EDR 工具。”
尊敬的读者: 感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
|
原文始发于微信公众号(信息安全大事件):黑客滥用 EDRSilencer 工具绕过安全性并隐藏恶意活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3283369.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论