Trend Micro araştırmacıları, tehdit aktörlerinin uç nokta tespit ve müdahale sistemlerinden kaçmak için açık kaynaklı EDRSilencer aracından yararlandığını fark etti.
EDRSilencer Hakkında
Kırmızı ekip oluşturma amaçlı yazılım, EDR çözümlerini “susturmak” için kötüye kullanılıyor.
Ağ trafiğini izlemek, engellemek ve değiştirmek için özel kuralların oluşturulmasına olanak tanıyan Windows Filtreleme Platformu’ndan (WFP) yararlanarak çalışır.
“Kod WFP’den yararlanıyor [Windows Filtering Platform] Araştırmacılar, çalışan EDR süreçlerini dinamik olarak tanımlayarak ve hem IPv4 hem de IPv6 internet protokollerinde giden ağ iletişimlerini engellemek için WFP filtreleri oluşturarak, EDR’lerin yönetim konsollarına telemetri veya uyarı göndermesini etkili bir şekilde önleyerek, “diye açıkladı.
EDRSilencer nasıl çalışır (Kaynak: Trend Micro)
Şu anda çok çeşitli EDR ürünleri tarafından yapılan işlemleri algılamaktadır: Carbon Black EDR, Cybereason, ESET Inspect, SentinelOne, Trellix EDR, Microsoft Defender for Endpoint ve Microsoft Defender Antivirus, Tanium, TrendMicro Apex One ve diğerleri.
Trend Micro araştırmacıları ayrıca bazı işlemlerin araç listesinde sabit kodlanmadığı durumlarda ek kurallarla engellenebildiğini de buldu.
EDR kaçırma araçlarının yükselişi
FIN7, 2023’ün başlarından bu yana birden fazla fidye yazılımı grubuna AvNeutralizer (aka AuKill) satıyor. Araç, korumalı EDR işlemlerini “asmak” veya çökertmek için Windows’un TTD Monitör Sürücüsünü ve (Sysinternals) Process Explorer sürücüsünü kullanıyor.
RansomHub RaaS, EDRKillShifter’ı kullanıyor ve çeşitli RaaS aktörleri, sonlandırma için güvenlik ürünlerini hedefleyen bir sürücü olan PoorTry’den (diğer adıyla BurntCigar) yararlanıyor.
Qilin fidye yazılımı saldırganları, EDR ve antivirüs işlemlerini sonlandırmak için savunmasız bir Zemana sürücüsünü kullanan “Killer Ultra”dan yararlanıyor.
Çeşitli araçların kullandığı mekanizmalar farklı olabilir ancak etkisi aynıdır: Uç nokta güvenlik çözümlerinin olması gerektiği gibi çalışması engellenir.
“EDR kaçırma araçları genellikle abonelik hizmetleri olarak satılıyor; ayda 350 dolardan veya tek bir bypass için 300 dolardan başlıyor. ExtraHop araştırmacıları, düşük fiyat noktasının, bu araçları fidye yazılımı ortakları ve düşük teknik yeterliliğe sahip olanlar da dahil olmak üzere diğer tehdit aktörleri için oldukça erişilebilir hale getirdiğini belirtti.
“Sonuçta, ExtraHop, tehdit aktörlerinin EDR bypass tekliflerini 7.500 $’a kadar fiyatlandırdığı ve EDR’den kaçınma yeteneklerini bir şifreleme dolabında paketleyen bir liste için 10.000 $’a kadar yüksek fiyatlara fiyatlandırdığı birkaç yeni listeyi fark etti.”
Trend Micro araştırmacıları, kuruluşların EDR’yi ortadan kaldıran araçlara karşı koymak için gelişmiş tespit mekanizmaları ve tehdit avlama stratejileri kullanması gerektiğini tavsiye etti.
Intel471 araştırmacıları yakın zamanda EDRKillshifter’ın nasıl aranacağını açıkladı ve ConnectWise Cyber Research, kuruluşların BYOVD tabanlı araçlara karşı korunmasına ilişkin tavsiyeleri paylaştı.