![Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击]( "Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击")
在恶意攻击事件中,我们观察到一种名为 EDRSilencer 的红队操作工具,它试图识别安全工具并将其警报静音到管理控制台。
网络安全公司趋势科技的研究人员表示,攻击者正试图将 EDRSilencer 整合到攻击中以逃避检测。
“我们的内部遥测显示,攻击者试图将 EDRSilencer 整合到他们的攻击中,将其重新用作逃避检测的手段。” - 趋势科技。
“Muting” EDR 产品
端点检测和响应 (EDR) 工具是监控和保护设备免受网络威胁的安全解决方案。
他们使用先进的分析和不断更新的情报来识别已知和新的威胁,并自动做出响应,同时向防御者发送有关威胁的来源、影响和蔓延的详细报告。
EDRSilencer 是一个开源工具,其灵感来自专有渗透测试工具 MdSec NightHawk FireBlock,它可以检测正在运行的 EDR 进程并使用 Windows 过滤平台 (WFP) 来监控、阻止或修改 IPv4 和 IPv6 通信协议上的网络流量。
WFP 通常用于防火墙、防病毒和其他安全解决方案等安全产品中,并且平台中设置的过滤器是持久的。
通过设置自定义规则,攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换,从而阻止传递警报和详细的遥测报告。
在最新版本中,EDRSilencer 可以检测并阻止 16 种主流 EDR 工具,包括:
-
-
-
-
Palo Alto Networks Traps/Cortex XDR
-
Cisco Secure Endpoint (formerly AMP)
-
-
-
![Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击]( "Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击")
TrendMicro 对 EDRSilencer 的测试表明,一些受影响的 EDR 工具可能仍然能够发送报告,因为它们的一个或多个可执行文件未包含在红队工具的硬编码列表中。
然而,EDRSilencer 通过提供文件路径为攻击者提供了为特定进程添加过滤器的选项,因此可以扩展目标进程列表以涵盖各种安全工具。
趋势科技在报告中解释道:“在识别并阻止硬编码列表中未包含的其他进程后,EDR 工具未能发送日志,从而证实了该工具的有效性。”
研究人员表示:“这使得恶意软件或其他恶意活动无法被发现,增加了在不被发现或干预的情况下成功攻击的可能性。”
![Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击]( "Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击")
TrendMicro 针对 EDRSilencer 的解决方案是将该工具检测为恶意软件,并在其允许攻击者禁用安全工具之前将其阻止。
此外,研究人员建议实施多层安全控制来隔离关键系统并创建冗余,使用提供行为分析和异常检测的安全解决方案,了解网络上发布的入侵指标,并应用最小特权原则。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3307272.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论