Table of Contents
Abuso de Ferramentas de Código Aberto por Atores de Ameaças
A recente evolução nas técnicas de ataque cibernético tem mostrado que atores de ameaças estão tentando explorar a ferramenta de código aberto EDRSilencer. Esta ferramenta tem sido utilizada para manipular soluções de detection and response em endpoints (EDR) e ocultar atividades maliciosas.
Detecção e Reutilização de EDRSilencer
A Trend Micro, uma autoridade em segurança cibernética, relatou que identificou “atores de ameaças tentando integrar o EDRSilencer em seus ataques, reformulando-o como um meio de evitar a detecção.”
Inspirado na ferramenta NightHawk FireBlock da MDSec, o EDRSilencer foi projetado para bloquear o tráfego de saída de processos relacionados a EDR utilizando a plataforma de filtragem do Windows (WFP).
Mecanismos de Proteção e Evasão
O EDRSilencer aproveita a WFP ao identificar dinamicamente os processos EDR em execução e criar filtros persistentes da WFP para bloquear suas comunicações de rede de saída tanto em IPv4 quanto em IPv6. Isso impede que o software de segurança envie telemetria para seus consoles de gerenciamento.
Funcionamento da Ferramenta
- O ataque começa com uma varredura do sistema para reunir uma lista dos processos em execução associados a produtos EDR comuns.
- Em seguida, o EDRSilencer é executado com o argumento “blockedr” (por exemplo, EDRSilencer.exe blockedr), que inibe o tráfego de saída desses processos configurando filtros WFP.
“Isso permite que malware ou outras atividades maliciosas permaneçam indetectadas, aumentando o potencial para ataques bem-sucedidos sem detecção ou intervenção,” afirmaram os pesquisadores. “Isso destaca a tendência contínua de atores de ameaças que buscam ferramentas mais eficazes para seus ataques, especialmente aquelas projetadas para desativar soluções de antivírus e EDR.”
A Evolução das Ferramentas de Ataque
O desenvolvimento do EDRSilencer ocorre em um cenário onde grupos de ransomware estão utilizando ferramentas poderosas para desativar EDR, como AuKill, EDRKillShifter e TrueSightKiller, GhostDriver e Terminator.
Essas ferramentas estão armadas com drivers vulneráveis para escalar privilégios e terminar processos relacionados à segurança, evidenciando a crescente sofisticação dos métodos de ataque.
“O EDRKillShifter melhora os mecanismos de persistência empregando técnicas que garantem sua presença contínua dentro do sistema, mesmo após as descobertas e limpezas iniciais,” afirmou a Trend Micro em uma análise recente. “Ele interrompe dinamicamente os processos de segurança em tempo real e adapta seus métodos à medida que as capacidades de detecção evoluem, permanecendo um passo à frente das ferramentas EDR tradicionais.”
#SegurançaCibernética #EDRSilencer #Ciberataques #Malware #Privacidade #Ransomware #FerramentasDeAtaque #ThreatActors #WFP
Fonte:https://thehackernews.com/2024/10/hackers-abuse-edrsilencer-tool-to.html