Kırmızı ekip aracı olan EDRSilencer, WFP’yi kullanan ilişkili süreçler için ağ iletişimini engelleyerek EDR çözümlerine müdahale eder; bu, EDR’ler telemetri veya uyarı gönderemediğinden kötü amaçlı yazılımların tanımlanmasını ve kaldırılmasını zorlaştırır.
Kod, kötü amaçlı yazılımın EDR trafiğini engelleyerek tespitten kaçabildiği, tanımlanmasını ve kaldırılmasını zorlaştıran bir teknik göstermektedir; bu, ağ trafiğini izleyen ve değiştiren özel kuralları tanımlamak için WFP çerçevesinden yararlanılarak elde edilir, böylece EDR’nin kendi istemcileriyle iletişim kurma yeteneği engellenir. bulut tabanlı altyapı.
EDR ürünleri, sistem etkinliğini izlemek, tehditleri tespit etmek ve siber saldırılara karşı gerçek zamanlı koruma sağlamak için aracı işlemleri, hizmet bileşenleri ve tarama yardımcı programları dahil olmak üzere çeşitli yürütülebilir dosyalardan yararlanır.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)
EDRSilencer aracı, giden ağ iletişimlerinin EDR süreçlerini çalıştırmasını engellemek için WFP filtreleri oluşturarak bunların telemetri veya uyarı göndermesini etkili bir şekilde önler; EDRNoiseMaker aracı ise WFP filtrelerine dayalı susturulmuş süreçleri tanımlayarak EDRSilencer’ın etkinliğini doğrulamak için kullanıldı.
Sistem yeniden başlatıldıktan sonra bile devam eden WFP filtrelerini kullanarak belirli işlemlere veya tüm EDR işlemlerine yönelik ağ trafiğini engellemek veya engellemeyi kaldırmak için komutlar sunar; bu, kullanıcıların bireysel işlemlerden gelen trafiği engellemesine veya tüm filtreleri bir kerede kaldırmasına olanak tanıyarak ağ erişimi üzerinde ayrıntılı kontrol sağlar.
Sabit kodlu engelleme listesinde listelenmeyen bazı yürütülebilir dosyalar kısıtlamayı atlayabildiğinden, uç nokta aracısı, engellenen argümana rağmen giden trafiği başarıyla gönderdi.
İkinci deneme, Blockr ve Block kullanarak tanımlanamayan iki Trend Micro işleminin tanımlanmasını ve engellenmesini içeriyordu.
EDRSilencer, sistemi EDR işlemleri için tarar ve tespitten kaçınmak ve EDR işlevselliğini engellemek için tüm EDR işlemlerini hedefleyerek veya belirli olanları belirterek ağ trafiğini engeller.
EDR işlemlerinin giden ağ iletişimlerini engellemek için Windows Filtreleme Platformu’ndan (WFP) yararlanır, bu da onları telemetri ve uyarıların gönderilmesinde etkisiz hale getirir, bu da kötü niyetli etkinliklerin tespit edilmeden kalmasına izin vererek başarılı saldırı riskini artırır.
Tehdit aktörleri, uç nokta tespit ve müdahale sistemlerinden kaçmak için EDRSilencer’ı kullanıyor, bu da başarılı fidye yazılımı saldırıları riskini artırıyor ve kuruluşların dijital varlıklarını korumak için gelişmiş tespit mekanizmalarını ve tehdit avı stratejilerini benimseme ihtiyacını vurguluyor.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar