Команда Trend Micro по поиску угроз обнаружила EDRSilencer - инструмент, изначально разработанный для «красных команд» с целью тестирования и улучшения систем безопасности путем вмешательства в работу решений для обнаружения и реагирования на конечные точки (EDR). Однако теперь злоумышленники перепрофилируют EDRSilencer для обхода обнаружения, блокируя трафик EDR с помощью платформы фильтрации Windows Filtering Platform (WFP).
EDRSilencer
Инструмент динамически определяет запущенные процессы EDR и создает фильтры WFP для блокировки их исходящей связи, что не позволяет решениям EDR отправлять телеметрию или оповещения на консоли управления. Это может позволить вредоносному ПО оставаться необнаруженным в системе.
EDRSilencer эффективен против широкого спектра продуктов EDR, что подтверждается его способностью блокировать связь для процессов, не включенных в его жестко заданный список. Фильтры инструмента устойчивы и остаются активными даже после перезагрузки системы. Цепочка атак включает в себя обнаружение процессов, выполнение инструмента для блокирования процессов EDR и повышение привилегий путем настройки фильтров WFP. Последствия атаки весьма значительны, поскольку средства EDR становятся неэффективными и не могут отправлять телеметрию или оповещения, что повышает вероятность успешных атак без обнаружения или вмешательства. Команда Trend Micro проверила эффективность инструмента, использовав его против собственного Vision One Endpoint Agent, и подтвердила, что EDRSilencer успешно блокирует журналы с конечной точки. Появление EDRSilencer в качестве средства обхода систем обнаружения и реагирования на конечные точки знаменует собой значительный сдвиг в тактике злоумышленников, повышая скрытность вредоносной деятельности.
Indicators of Compromise
SHA256
- 721af117726af1385c08cc6f49a801f3cf3f057d9fd26fcec2749455567888e7
