近日，研究人員在惡意事件中觀察到一種名為 EDRSilencer 的紅隊操作工具。 EDRSilencer 識別安全工具后會將其向管理控制臺發(fā)出的警報變更為靜音狀態(tài)。

網(wǎng)絡(luò)安全公司 Trend Micro 的研究人員說，攻擊者正試圖在攻擊中整合 EDRSilencer，以逃避檢測。

被“靜音”的EDR 產(chǎn)品

端點檢測和響應(yīng)（EDR）工具是監(jiān)控和保護設(shè)備免受網(wǎng)絡(luò)威脅的安全解決方案。

它們使用先進的分析技術(shù)和不斷更新的情報來識別已知和新的威脅，并自動做出響應(yīng)，同時向防御者發(fā)送有關(guān)威脅來源、影響和傳播的詳細報告。

EDRSilencer 是受 MdSec NightHawk FireBlock（一種專有的筆試工具）啟發(fā)而開發(fā)的開源工具，可檢測運行中的 EDR 進程，并使用 Windows 過濾平臺（WFP）監(jiān)控、阻止或修改 IPv4 和 IPv6 通信協(xié)議的網(wǎng)絡(luò)流量。

WFP 通常用于防火墻、殺毒軟件和其他安全解決方案等安全產(chǎn)品中，平臺中設(shè)置的過濾器具有持久性。

通過自定義規(guī)則，攻擊者可以破壞 EDR 工具與其管理服務(wù)器之間的持續(xù)數(shù)據(jù)交換，從而阻止警報和詳細遙測報告的發(fā)送。

在最新版本中，EDRSilencer 可檢測并阻止 16 種現(xiàn)代 EDR 工具，包括：

• 微軟衛(wèi)士
• SentinelOne
• FortiEDR
• Palo Alto Networks Traps/Cortex XDR
• 思科安全端點（前 AMP）
• ElasticEDR
• Carbon Black EDR
• 趨勢科技 Apex One

阻止硬編碼可執(zhí)行文件的傳播，來源：趨勢科技

趨勢科技對 EDRSilencer 的測試表明，一些受影響的 EDR 工具可能仍能發(fā)送報告，原因是它們的一個或多個可執(zhí)行文件未列入紅隊工具的硬編碼列表。

不過，EDRSilencer 允許攻擊者通過提供文件路徑為特定進程添加過濾器，因此可以擴展目標(biāo)進程列表以涵蓋各種安全工具。

趨勢科技在報告中解釋說：在識別并阻止未列入硬編碼列表的其他進程后，EDR 工具未能發(fā)送日志，這證實了該工具的有效性。

研究人員說：這使得惡意軟件或其他惡意活動仍未被發(fā)現(xiàn)，增加了在未被發(fā)現(xiàn)或干預(yù)的情況下成功攻擊的可能性。

EDRSilencer 攻擊鏈，來源：趨勢科技

趨勢科技針對 EDRSilencer 的解決方案是將該工具作為惡意軟件進行檢測，在攻擊者禁用安全工具之前阻止它。

此外，研究人員建議實施多層次的安全控制，以隔離關(guān)鍵系統(tǒng)并創(chuàng)建冗余，使用提供行為分析和異常檢測的安全解決方案，在網(wǎng)絡(luò)上尋找入侵跡象，并應(yīng)用最小特權(quán)原則。