黑客滥用 EDRSilencer 工具绕过安全并隐藏恶意活动

威胁行为者正试图滥用开源 EDRSilencer 工具，以篡改端点检测和响应 (EDR) 解决方案并隐藏恶意活动。

趋势科技表示，它检测到“威胁行为者试图将 EDRSilencer 整合到他们的攻击中，并将其重新用作逃避检测的手段”。

EDRSilencer受到MDSec 的NightHawk FireBlock工具的启发，旨在使用 Windows 过滤平台 ( WFP ) 阻止正在运行的 EDR 进程的出站流量。

它支持终止来自 Microsoft、Elastic、Trellix、Qualys、SentinelOne、Cybereason、Broadcom Carbon Black、Tanium、Palo Alto Networks、Fortinet、Cisco、ESET、HarfangLab 和 Trend Micro 的与 EDR 产品相关的各种进程。

通过将这些合法的红队工具纳入他们的武器库，他们的目标是使 EDR 软件无效，并使识别和删除恶意软件变得更具挑战性。

趋势科技的研究人员表示： “WFP 是 Windows 内置的强大框架，可用于创建网络过滤和安全应用程序。它为开发人员提供了 API，用于定义自定义规则，以根据各种标准（如 IP 地址、端口、协议和应用程序）来监控、阻止或修改网络流量。”

“WFP 用于防火墙、防病毒软件和其他安全解决方案来保护系统和网络。”

EDRSilencer 利用 WFP 的优势，动态识别正在运行的 EDR 进程并创建持久的 WFP 过滤器来阻止它们在 IPv4 和 IPv6 上的出站网络通信，从而阻止安全软件将遥测数据发送到其管理控制台。

该攻击本质上是通过扫描系统来收集与常见 EDR 产品相关的正在运行的进程列表，然后使用参数“blockedr”运行 EDRSilencer（例如，EDRSilencer.exe blockr），通过配置 WFP 过滤器来抑制来自这些进程的出站流量。

研究人员表示：“这使得恶意软件或其他恶意活动无法被发现，增加了未经检测或干预就成功攻击的可能性。”“这凸显了威胁行为者寻求更有效的攻击工具的持续趋势，尤其是那些旨在禁用防病毒和 EDR 解决方案的工具。”

随着勒索软件团体越来越多地使用强大的 EDR 终止工具，例如AuKill（又名 AvNeutralizer）、EDRKillShifter、TrueSightKiller、GhostDriver 和 Terminator ，这些程序利用易受攻击的驱动程序来提升权限并终止与安全相关的进程。

趋势科技在最近的分析中表示： “EDRKillShifter 采用技术增强了持久性机制，即使在发现和清除初始入侵后，也能确保其在系统中持续存在。”

“它会实时动态地破坏安全流程，并随着检测能力的发展调整其方法，领先于传统的 EDR 工具一步。”