近日，研究人員在惡意事件中觀察到一種名為 EDRSilencer 的紅隊(duì)操作工具。 EDRSilencer 識(shí)別安全工具后會(huì)將其向管理控制臺(tái)發(fā)出的警報(bào)變更為靜音狀態(tài)。

網(wǎng)絡(luò)安全公司 Trend Micro 的研究人員說(shuō)，攻擊者正試圖在攻擊中整合 EDRSilencer，以逃避檢測(cè)。

被“靜音”的EDR 產(chǎn)品

端點(diǎn)檢測(cè)和響應(yīng)（EDR）工具是監(jiān)控和保護(hù)設(shè)備免受網(wǎng)絡(luò)威脅的安全解決方案。

它們使用先進(jìn)的分析技術(shù)和不斷更新的情報(bào)來(lái)識(shí)別已知和新的威脅，并自動(dòng)做出響應(yīng)，同時(shí)向防御者發(fā)送有關(guān)威脅來(lái)源、影響和傳播的詳細(xì)報(bào)告。

EDRSilencer 是受 MdSec NightHawk FireBlock（一種專有的筆試工具）啟發(fā)而開(kāi)發(fā)的開(kāi)源工具，可檢測(cè)運(yùn)行中的 EDR 進(jìn)程，并使用 Windows 過(guò)濾平臺(tái)（WFP）監(jiān)控、阻止或修改 IPv4 和 IPv6 通信協(xié)議的網(wǎng)絡(luò)流量。

WFP 通常用于防火墻、殺毒軟件和其他安全解決方案等安全產(chǎn)品中，平臺(tái)中設(shè)置的過(guò)濾器具有持久性。

通過(guò)自定義規(guī)則，攻擊者可以破壞 EDR 工具與其管理服務(wù)器之間的持續(xù)數(shù)據(jù)交換，從而阻止警報(bào)和詳細(xì)遙測(cè)報(bào)告的發(fā)送。

在最新版本中，EDRSilencer 可檢測(cè)并阻止 16 種現(xiàn)代 EDR 工具，包括：

• 微軟衛(wèi)士
• SentinelOne
• FortiEDR
• Palo Alto Networks Traps/Cortex XDR
• 思科安全端點(diǎn)（前 AMP）
• ElasticEDR
• Carbon Black EDR
• 趨勢(shì)科技 Apex One

阻止硬編碼可執(zhí)行文件的傳播，來(lái)源：趨勢(shì)科技

趨勢(shì)科技對(duì) EDRSilencer 的測(cè)試表明，一些受影響的 EDR 工具可能仍能發(fā)送報(bào)告，原因是它們的一個(gè)或多個(gè)可執(zhí)行文件未列入紅隊(duì)工具的硬編碼列表。

不過(guò)，EDRSilencer 允許攻擊者通過(guò)提供文件路徑為特定進(jìn)程添加過(guò)濾器，因此可以擴(kuò)展目標(biāo)進(jìn)程列表以涵蓋各種安全工具。

趨勢(shì)科技在報(bào)告中解釋說(shuō)：在識(shí)別并阻止未列入硬編碼列表的其他進(jìn)程后，EDR 工具未能發(fā)送日志，這證實(shí)了該工具的有效性。

研究人員說(shuō)：這使得惡意軟件或其他惡意活動(dòng)仍未被發(fā)現(xiàn)，增加了在未被發(fā)現(xiàn)或干預(yù)的情況下成功攻擊的可能性。

EDRSilencer 攻擊鏈，來(lái)源：趨勢(shì)科技

趨勢(shì)科技針對(duì) EDRSilencer 的解決方案是將該工具作為惡意軟件進(jìn)行檢測(cè)，在攻擊者禁用安全工具之前阻止它。

此外，研究人員建議實(shí)施多層次的安全控制，以隔離關(guān)鍵系統(tǒng)并創(chuàng)建冗余，使用提供行為分析和異常檢測(cè)的安全解決方案，在網(wǎng)絡(luò)上尋找入侵跡象，并應(yīng)用最小特權(quán)原則。