Hackers misbruiken de EDRSilencer-tool om de beveiliging te omzeilen en schadelijke activiteiten te verbergen

Bedreigingsactoren proberen misbruik te maken van de open-source EDRSilencer-tool als onderdeel van pogingen om eindpuntdetectie- en responsoplossingen (EDR) te manipuleren en kwaadaardige activiteiten te verbergen.

Trend Micro zei dat het “bedreigingsactoren heeft gedetecteerd die EDRSilencer in hun aanvallen proberen te integreren, en het opnieuw gebruiken als een manier om detectie te omzeilen.”

EDRSilencer, geïnspireerd op de NightHawk FireBlock-tool van MDSec, is ontworpen om uitgaand verkeer van actieve EDR-processen te blokkeren met behulp van het Windows Filtering Platform (WFP).

Het ondersteunt het beëindigen van verschillende processen met betrekking tot EDR-producten van Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab en Trend Micro.

Door dergelijke legitieme red teaming-tools in hun arsenaal op te nemen, is het doel om EDR-software ineffectief te maken en het een stuk uitdagender te maken om malware te identificeren en te verwijderen.

“Het WFP is een krachtig raamwerk dat in Windows is ingebouwd voor het creëren van netwerkfilter- en beveiligingstoepassingen”, aldus Trend Micro-onderzoekers. “Het biedt API’s waarmee ontwikkelaars aangepaste regels kunnen definiëren om netwerkverkeer te monitoren, blokkeren of wijzigen op basis van verschillende criteria, zoals IP-adressen, poorten, protocollen en applicaties.”

“WFP wordt gebruikt in firewalls, antivirussoftware en andere beveiligingsoplossingen om systemen en netwerken te beschermen.”

Hackers misbruiken de EDRSilencer-tool

EDRSilencer maakt gebruik van WFP door actieve EDR-processen dynamisch te identificeren en persistente WFP-filters te creëren om hun uitgaande netwerkcommunicatie op zowel IPv4 als IPv6 te blokkeren, waardoor wordt voorkomen dat beveiligingssoftware telemetrie naar hun beheerconsoles verzendt.

De aanval werkt in wezen door het systeem te scannen om een ​​lijst met actieve processen te verzamelen die zijn gekoppeld aan veelgebruikte EDR-producten, gevolgd door het uitvoeren van EDRSilencer met het argument “blockedr” (bijvoorbeeld EDRSilencer.exe geblokkeerd) om uitgaand verkeer van die processen te blokkeren door WFP-filters te configureren .

“Hierdoor kunnen malware en andere kwaadaardige activiteiten onopgemerkt blijven, waardoor de kans op succesvolle aanvallen zonder detectie of tussenkomst toeneemt”, aldus de onderzoekers. “Dit benadrukt de aanhoudende trend van bedreigingsactoren die op zoek zijn naar effectievere tools voor hun aanvallen, vooral die welke zijn ontworpen om antivirus- en EDR-oplossingen uit te schakelen.”

De ontwikkeling komt omdat het gebruik door ransomware-groepen van formidabele EDR-killing tools zoals AuKill (ook bekend als AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver en Terminator toeneemt, waarbij deze programma’s kwetsbare stuurprogramma’s bewapenen om privileges te escaleren en beveiligingsgerelateerde processen te beëindigen.

“EDRKillShifter verbetert persistentiemechanismen door gebruik te maken van technieken die de continue aanwezigheid ervan binnen het systeem garanderen, zelfs nadat initiële compromissen zijn ontdekt en opgeschoond”, aldus Trend Micro in een recente analyse.

“Het verstoort op dynamische wijze beveiligingsprocessen in realtime en past zijn methoden aan naarmate de detectiemogelijkheden zich ontwikkelen, waardoor de traditionele EDR-tools een stap voor blijven.”

Thijs Van der Does