EDRSilencer, sıklıkla kullanılan bir araç kırmızı takım operasyonlarıgüvenlik araçlarını belirlemeye ve güvenlik uyarılarını susturmaya yönelik kötü niyetli girişimlerde karanlık taraf tarafından seçiliyor.
Bir sistemde çalışan EDR işlemlerini algılayan açık kaynaklı bir uç nokta algılama ve yanıt aracı olan EDRSilencer, ağ trafiğini izlemek, engellemek ve değiştirmek için Windows Filtreleme Platformunu (WFP) kullanır.
Kırmızı takım aracı, aşağıdakiler de dahil olmak üzere 16 ortak EDR aracını engelleme kapasitesine sahiptir: Microsoft DefenderSentinelOne, FortiEDR, Palto Alto Networks Traps/Cortex XDR ve TrendMicro Apex One ve diğerleri.
Yıkımın arkasındaki tehdit aktörleri, aracı saldırılarına entegre etmeye ve onu tespit edilmekten kaçınmak için yeniden kullanmaya çalışıyor. Başarılı olmaları durumunda, EDRSilencer ile yönetim sunucusu arasındaki veri alışverişini bozarak yalnızca uyarıları değil, aynı zamanda ayrıntılı telemetri raporlarını da engelleyebilirler. Ayrıca saldırganlara filtre ekleme veya tespitten kaçınmak için belirli dosya yollarından kaçınma seçenekleri de sunar.
“Uç nokta tespit ve müdahale sistemlerinden kaçmanın bir yolu olarak EDRSilencer’ın ortaya çıkışı, tehdit aktörlerinin kullandığı taktiklerde önemli bir değişime işaret ediyor.” TrendMicro’daki araştırmacılar bir gönderide şunu yazdı:. “Kritik güvenlik iletişimlerini devre dışı bırakarak kötü niyetli faaliyetlerin gizliliğini artırır, başarılı fidye yazılımı saldırıları ve operasyonel kesinti potansiyelini artırır.”
Araştırmacılar, kuruluşların dikkatli olmaları ve bu kaçırma araçlarına karşı koymak için gelişmiş tespit mekanizmalarının yanı sıra tehdit avlama stratejileri uygulamaları gerektiğini belirtiyor.