Los actores de amenazas están intentando abusar de la herramienta EDRSilencer de código abierto como parte de los esfuerzos para alterar las soluciones de detección y respuesta de endpoints (EDR) y ocultar la actividad maliciosa.
Trend Micro dijo que detectó “actores de amenazas que intentaban integrar EDRSilencer en sus ataques, reutilizándolo como un medio para evadir la detección”.
EDRSilencer, inspirado en la herramienta NightHawk FireBlock de MDSec, está diseñado para bloquear el tráfico saliente de procesos EDR en ejecución utilizando la plataforma de filtrado de Windows (WFP).
Admite la finalización de varios procesos relacionados con productos EDR de Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab y Trend Micro.
Al incorporar estas herramientas legítimas de equipo rojo en su arsenal, el objetivo es hacer que el software EDR sea ineficaz y hacer que sea mucho más difícil identificar y eliminar malware.
“WFP es un potente marco integrado en Windows para crear aplicaciones de seguridad y filtrado de red”, dijeron los investigadores de Trend Micro. “Proporciona API para que los desarrolladores definan reglas personalizadas para monitorear, bloquear o modificar el tráfico de red según varios criterios, como direcciones IP, puertos, protocolos y aplicaciones”.
“El PMA se utiliza en cortafuegos, software antivirus y otras soluciones de seguridad para proteger sistemas y redes”.
EDRSilencer aprovecha WFP al identificar dinámicamente los procesos EDR en ejecución y crear filtros persistentes de WFP para bloquear sus comunicaciones de red salientes tanto en IPv4 como en IPv6, evitando así que el software de seguridad envíe telemetría a sus consolas de administración.
Básicamente, el ataque funciona escaneando el sistema para recopilar una lista de procesos en ejecución asociados con productos EDR comunes, seguido de ejecutar EDRSilencer con el argumento “blockedr” (por ejemplo, EDRSilencer.exe bloqueado) para inhibir el tráfico saliente de esos procesos mediante la configuración de filtros WFP. .
“Esto permite que el malware u otras actividades maliciosas pasen desapercibidas, aumentando el potencial de ataques exitosos sin detección ni intervención”, dijeron los investigadores. “Esto pone de relieve la tendencia actual de los actores de amenazas a buscar herramientas más efectivas para sus ataques, especialmente aquellas diseñadas para desactivar las soluciones antivirus y EDR”.
El desarrollo se produce cuando el uso por parte de los grupos de ransomware de formidables herramientas para eliminar EDR como AuKill (también conocido como AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver y Terminator está en aumento, con estos programas armando a controladores vulnerables para escalar privilegios y finalizar procesos relacionados con la seguridad.
“EDRKillShifter mejora los mecanismos de persistencia mediante el empleo de técnicas que garantizan su presencia continua dentro del sistema, incluso después de que se descubren y limpian los compromisos iniciales”, dijo Trend Micro en un análisis reciente.
“Interrumpe dinámicamente los procesos de seguridad en tiempo real y adapta sus métodos a medida que evolucionan las capacidades de detección, manteniéndose un paso por delante de las herramientas EDR tradicionales”.