可繞過(guò)安全防護(hù)!EDR Silencer紅隊(duì)工具遭黑客利用
近日,研究人員在惡意事件中觀察到一種名為 EDRSilencer 的紅隊(duì)操作工具。 EDRSilencer 識(shí)別安全工具后會(huì)將其向管理控制臺(tái)發(fā)出的警報(bào)變更為靜音狀態(tài)。
網(wǎng)絡(luò)安全公司 Trend Micro 的研究人員說(shuō),攻擊者正試圖在攻擊中整合 EDRSilencer,以逃避檢測(cè)。
被“靜音”的EDR 產(chǎn)品
端點(diǎn)檢測(cè)和響應(yīng)(EDR)工具是監(jiān)控和保護(hù)設(shè)備免受網(wǎng)絡(luò)威脅的安全解決方案。
它們使用先進(jìn)的分析技術(shù)和不斷更新的情報(bào)來(lái)識(shí)別已知和新的威脅,并自動(dòng)做出響應(yīng),同時(shí)向防御者發(fā)送有關(guān)威脅來(lái)源、影響和傳播的詳細(xì)報(bào)告。
EDRSilencer 是受 MdSec NightHawk FireBlock(一種專有的筆試工具)啟發(fā)而開(kāi)發(fā)的開(kāi)源工具,可檢測(cè)運(yùn)行中的 EDR 進(jìn)程,并使用 Windows 過(guò)濾平臺(tái)(WFP)監(jiān)控、阻止或修改 IPv4 和 IPv6 通信協(xié)議的網(wǎng)絡(luò)流量。
WFP 通常用于防火墻、殺毒軟件和其他安全解決方案等安全產(chǎn)品中,平臺(tái)中設(shè)置的過(guò)濾器具有持久性。
通過(guò)自定義規(guī)則,攻擊者可以破壞 EDR 工具與其管理服務(wù)器之間的持續(xù)數(shù)據(jù)交換,從而阻止警報(bào)和詳細(xì)遙測(cè)報(bào)告的發(fā)送。
在最新版本中,EDRSilencer 可檢測(cè)并阻止 16 種現(xiàn)代 EDR 工具,包括:
- 微軟衛(wèi)士
- SentinelOne
- FortiEDR
- Palo Alto Networks Traps/Cortex XDR
- 思科安全端點(diǎn)(前 AMP)
- ElasticEDR
- Carbon Black EDR
- 趨勢(shì)科技 Apex One
阻止硬編碼可執(zhí)行文件的傳播,來(lái)源:趨勢(shì)科技
趨勢(shì)科技對(duì) EDRSilencer 的測(cè)試表明,一些受影響的 EDR 工具可能仍能發(fā)送報(bào)告,原因是它們的一個(gè)或多個(gè)可執(zhí)行文件未列入紅隊(duì)工具的硬編碼列表。
不過(guò),EDRSilencer 允許攻擊者通過(guò)提供文件路徑為特定進(jìn)程添加過(guò)濾器,因此可以擴(kuò)展目標(biāo)進(jìn)程列表以涵蓋各種安全工具。
趨勢(shì)科技在報(bào)告中解釋說(shuō):在識(shí)別并阻止未列入硬編碼列表的其他進(jìn)程后,EDR 工具未能發(fā)送日志,這證實(shí)了該工具的有效性。
研究人員說(shuō):這使得惡意軟件或其他惡意活動(dòng)仍未被發(fā)現(xiàn),增加了在未被發(fā)現(xiàn)或干預(yù)的情況下成功攻擊的可能性。
EDRSilencer 攻擊鏈,來(lái)源:趨勢(shì)科技
趨勢(shì)科技針對(duì) EDRSilencer 的解決方案是將該工具作為惡意軟件進(jìn)行檢測(cè),在攻擊者禁用安全工具之前阻止它。
此外,研究人員建議實(shí)施多層次的安全控制,以隔離關(guān)鍵系統(tǒng)并創(chuàng)建冗余,使用提供行為分析和異常檢測(cè)的安全解決方案,在網(wǎng)絡(luò)上尋找入侵跡象,并應(yīng)用最小特權(quán)原則。