EDRSilencer, uç noktalardan gelen istenmeyen veri aktarımlarını “susturarak” veya “engelleyerek” veri gizliliğini ve güvenliğini artırmak için tasarlanmış bir araçtır.
Araç muhtemelen genel siber güvenlik önlemlerini iyileştirmek ve aynı zamanda “veri sızıntılarına” karşı ek bir koruma katmanı sağlamak için EDR sistemleriyle birlikte kullanılacak.
Trend Micro’nun Tehdit Avcılığı Ekibi yakın zamanda bilgisayar korsanlarının tespitten kaçınmak için “EDRSilencer” kırmızı takım aracını aktif olarak kötüye kullandığını tespit etti.
EDRSilencer, yakın zamanda keşfedilen ve “EDR” çözümlerine müdahale etmek için “WFP”yi kullandığı tespit edilen bir kırmızı ekip aracıdır.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
EDR’ler, bilgisayarları kötü amaçlı etkinliklere karşı izleyen güvenlik araçlarıdır. Bu araç, çeşitli EDR işlemlerinin yönetim konsollarına “uyarılar” veya “telemetri” göndermesini engelleyerek ağ iletişimini engelleyebilir.
Çalışan “EDR işlemlerini” dinamik olarak tanımlayarak ve hem “IPv4” hem de “IPv6″da giden ağ iletişimlerini engellemek için “WFP filtreleri” oluşturarak çalışır.
Bu filtreler “sistem yeniden başlatıldıktan” sonra bile varlığını sürdürür. EDRSilencer, tespit edilen tüm “EDR işlemlerini”, “belirli işlemleri engelle” veya “filtreleri kaldır” seçeneklerini içeren bir “komut satırı arayüzü” sunar. Bu, tehdit aktörlerinin tespit edilmekten kaçınmak için bu tekniği nasıl kullanabileceğini etkili bir şekilde gösterdi.
Trend Micro’nun raporuna göre bu, güvenliği artırmak için tasarlanan araçların kötü niyetli amaçlar için “yeniden kullanılabileceği” siber güvenlik alanında süregelen zorluğun altını çiziyor.
“Savunma stratejilerinin” sürekli uyarlanması ihtiyacını vurgulamak.
EDRSilencer “çok adımlı bir süreç” ile çalışır:-
- Öncelikle hedef sistemde çalışan EDR işlemlerini keşfeder.
- Daha sonra WFP filtrelerini kullanarak bu işlemlerden gelen ağ trafiğini engelleyerek çalışır.
Bu filtreler sürekli olarak uygulanır ve bu da sistemin yeniden başlatılmasından kurtulmaya yardımcı olur. EDRSilencer, tespit edilen tüm “EDR işlemlerini” veya “belirli olanları hedefleyerek” “dosya yollarını” kullanarak engelleyebilir.
EDRSilencer, EDR araçlarının yönetim konsollarına “telemetri”, “uyarılar” ve “günlükler” göndermesini engelleyerek bu güvenlik sistemlerini etkili bir şekilde körleştirir.
Bu, kötü amaçlı yazılımların ve diğer kötü amaçlı etkinliklerin “tespit edilmeden” çalışmasına olanak tanır.
Testler, bazı “EDR süreçlerinin” başlangıçta iletişimi sürdürdüğünü, ancak ek “belgelenmemiş süreçlerin” engellenmesinin aracın etkinliğini doğruladığını ortaya çıkardı.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Çok katmanlı güvenlik kontrollerini uygulayın.
- Uç nokta güvenliğini artırdığınızdan emin olun.
- Sürekli izleme ve tehdit avcılığı yapın.
- Güçlü erişim kontrolleri uygulayın.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)