Tehdit aktörleri, uç nokta algılama ve yanıt (EDR) çözümlerini değiştirme ve kötü amaçlı etkinlikleri gizleme çabalarının bir parçası olarak açık kaynaklı EDRSilencer aracını kötüye kullanmaya çalışıyor.
Trend Micro, “EDRSilencer’ı saldırılarına entegre etmeye çalışan ve onu tespitten kaçınma aracı olarak yeniden kullanan tehdit aktörlerinin” tespit edildiğini söyledi.
MDSec’in NightHawk FireBlock aracından ilham alan EDRSilencer, Windows Filtreleme Platformunu (WFP) kullanarak çalışan EDR işlemlerinin giden trafiğini engellemek için tasarlanmıştır.
Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab ve Trend Micro’nun EDR ürünleriyle ilgili çeşitli süreçlerin sonlandırılmasını destekler.
Bu tür meşru kırmızı ekip araçlarını cephaneliğine dahil ederek amaç, EDR yazılımını etkisiz hale getirmek ve kötü amaçlı yazılımları tespit edip kaldırmayı çok daha zor hale getirmektir.
Trend Micro araştırmacıları, “WFP, ağ filtreleme ve güvenlik uygulamaları oluşturmak için Windows’ta yerleşik güçlü bir çerçevedir” dedi. “Geliştiricilere, IP adresleri, bağlantı noktaları, protokoller ve uygulamalar gibi çeşitli kriterlere göre ağ trafiğini izlemek, engellemek veya değiştirmek için özel kurallar tanımlamaları için API’ler sağlar.”
“WFP, sistemleri ve ağları korumak için güvenlik duvarlarında, antivirüs yazılımlarında ve diğer güvenlik çözümlerinde kullanılıyor.”
EDRSilencer, çalışan EDR işlemlerini dinamik olarak tanımlayarak ve hem IPv4 hem de IPv6’da giden ağ iletişimlerini engellemek için kalıcı WFP filtreleri oluşturarak WFP’den yararlanır, böylece güvenlik yazılımının yönetim konsollarına telemetri göndermesini engeller.
Saldırı esas olarak, yaygın EDR ürünleriyle ilişkili çalışan işlemlerin bir listesini toplamak için sistemi tarayarak ve ardından WFP filtrelerini yapılandırarak bu işlemlerden giden trafiği engellemek için EDRSilencer’ı “blockedr” argümanıyla (örneğin, EDRSilencer.exeblockr) çalıştırarak çalışır. .
Araştırmacılar, “Bu, kötü amaçlı yazılımların veya diğer kötü amaçlı etkinliklerin tespit edilmeden kalmasına olanak tanıyarak, tespit veya müdahale olmaksızın başarılı saldırı potansiyelini artırıyor” dedi. “Bu, tehdit aktörlerinin saldırıları için daha etkili araçlar, özellikle de antivirüs ve EDR çözümlerini devre dışı bırakmak için tasarlanmış araçlar arayışında olan eğilimin altını çiziyor.”
Bu gelişme, fidye yazılımı gruplarının AuKill (diğer adıyla AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver ve Terminator gibi zorlu EDR öldürme araçlarını kullanımının artmasıyla birlikte geliyor; bu programlar, ayrıcalıkları artırmak ve güvenlikle ilgili süreçleri sonlandırmak için savunmasız sürücüleri silahlandırıyor.
Trend Micro yakın tarihli bir analizde “EDRKillShifter, ilk tehlikeler keşfedilip temizlendikten sonra bile sistem içinde sürekli varlığını sağlayan teknikler kullanarak kalıcılık mekanizmalarını geliştiriyor” dedi.
“Güvenlik süreçlerini gerçek zamanlı olarak dinamik olarak bozuyor ve algılama yetenekleri geliştikçe yöntemlerini uyarlayarak geleneksel EDR araçlarından bir adım önde oluyor.”