Os atores de ameaças estão tentando abusar da ferramenta EDRSilencer de código aberto como parte dos esforços para adulterar soluções de detecção e resposta de endpoint (EDR) e ocultar atividades maliciosas.
A Pattern Micro disse que detectou “atores de ameaças tentando integrar o EDRSilencer em seus ataques, reaproveitando-o como um meio de escapar da detecção”.
O EDRSilencer, inspirado na ferramenta NightHawk FireBlock do MDSec, foi projetado para bloquear o tráfego de saída de processos EDR em execução usando a Home windows Filtering Platform (WFP).
Ele oferece suporte ao encerramento de vários processos relacionados a produtos EDR da Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab e Pattern Micro.
Ao incorporar essas ferramentas legítimas de purple teaming em seu arsenal, o objetivo é tornar o software program EDR ineficaz e tornar muito mais desafiador identificar e remover malware.
“O WFP é uma estrutura poderosa integrada ao Home windows para criar filtros de rede e aplicativos de segurança”, disseram os pesquisadores da Pattern Micro. “Ele fornece APIs para desenvolvedores definirem regras personalizadas para monitorar, bloquear ou modificar o tráfego de rede com base em vários critérios, como endereços IP, portas, protocolos e aplicativos”.
“O WFP é usado em firewalls, software program antivírus e outras soluções de segurança para proteger sistemas e redes.”
O EDRSilencer aproveita o WFP identificando dinamicamente processos EDR em execução e criando filtros WFP persistentes para bloquear suas comunicações de rede de saída em IPv4 e IPv6, evitando assim que o software program de segurança envie telemetria para seus consoles de gerenciamento.
O ataque funciona essencialmente verificando o sistema para reunir uma lista de processos em execução associados a produtos EDR comuns, seguido pela execução do EDRSilencer com o argumento “blockedr” (por exemplo, EDRSilencer.exeblockedr) para inibir o tráfego de saída desses processos configurando filtros WFP .
“Isso permite que malware ou outras atividades maliciosas permaneçam sem serem detectadas, aumentando o potencial de ataques bem-sucedidos sem detecção ou intervenção”, disseram os pesquisadores. “Isso destaca a tendência contínua dos agentes de ameaças que buscam ferramentas mais eficazes para seus ataques, especialmente aquelas projetadas para desabilitar soluções antivírus e EDR”.
O desenvolvimento ocorre no momento em que o uso de formidáveis ferramentas de eliminação de EDR por grupos de ransomware, como AuKill (também conhecido como AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver e Terminator, está aumentando, com esses programas transformando drivers vulneráveis em armas para aumentar privilégios e encerrar processos relacionados à segurança.
“O EDRKillShifter aprimora os mecanismos de persistência empregando técnicas que garantem sua presença contínua no sistema, mesmo após os comprometimentos iniciais serem descobertos e limpos”, disse a Pattern Micro em uma análise recente.
“Ele interrompe dinamicamente os processos de segurança em tempo actual e adapta seus métodos à medida que as capacidades de detecção evoluem, ficando um passo à frente das ferramentas tradicionais de EDR”.