- 13,086
- 20
- 8 Ноя 2022
Хакеры научились «ослеплять» системы защиты с помощью одного лишь инструмента.
Специалисты Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся что в ряде атак злоумышленники использовали инструмент EDRSilencer для отключения предупреждений EDR -систем. Киберпреступники интегрируют инструмент в свои атаки для сокрытия следов атак и уклонения от выявления.
Для просмотра ссылки Войдиили Зарегистрируйся – инструмент с открытым исходным кодом, разработанный по аналогии с коммерческим решением NightHawk FireBlock от MdSec. Программа выявляет активные процессы EDR и использует платформу Windows Filtering Platform ( WFP ) для отслеживания и блокировки сетевого трафика по протоколам IPv4 и IPv6. WFP, применяемая в межсетевых экранах и антивирусах, позволяет настраивать устойчивые фильтры, используемые для контроля трафика.
EDRSilencer применяет фильтры для блокировки связи EDR с сервером управления. Во время тестирования удалось заблокировать отправку данных, и устройства выглядели неактивными на портале управления. В результате блокируется отправка уведомлений и подробной телеметрии.
В новой версии инструмента доступна блокировка 16 современных EDR-решений, среди которых:
Однако после внесения дополнительных процессов в список блокировки EDR-инструменты перестают отправлять логи. Такое отключение позволяет вредоносной активности оставаться незамеченной, повышая шансы на успешные атаки без вмешательства специалистов.
Схема работы EDRSilencer (источник: Trend Micro)
Trend Micro рекомендует классифицировать EDRSilencer как вредоносное ПО и блокировать его на ранних этапах атаки. Эксперты также советуют применять многоуровневые меры безопасности для изоляции критически важных систем, использовать решения с поведенческим анализом и обнаружением аномалий, а также следить за индикаторами компрометации в сети. Принцип минимальных привилегий также является ключевым элементом защиты от подобных атак.
Специалисты Trend Micro Для просмотра ссылки Войди
Для просмотра ссылки Войди
EDRSilencer применяет фильтры для блокировки связи EDR с сервером управления. Во время тестирования удалось заблокировать отправку данных, и устройства выглядели неактивными на портале управления. В результате блокируется отправка уведомлений и подробной телеметрии.
В новой версии инструмента доступна блокировка 16 современных EDR-решений, среди которых:
- Microsoft Defender;
- SentinelOne;
- FortiEDR;
- Palo Alto Networks Cortex XDR;
- Cisco Secure Endpoint;
- ElasticEDR;
- Carbon Black EDR;
- Trend Micro Apex One.
Однако после внесения дополнительных процессов в список блокировки EDR-инструменты перестают отправлять логи. Такое отключение позволяет вредоносной активности оставаться незамеченной, повышая шансы на успешные атаки без вмешательства специалистов.
Схема работы EDRSilencer (источник: Trend Micro)
Trend Micro рекомендует классифицировать EDRSilencer как вредоносное ПО и блокировать его на ранних этапах атаки. Эксперты также советуют применять многоуровневые меры безопасности для изоляции критически важных систем, использовать решения с поведенческим анализом и обнаружением аномалий, а также следить за индикаторами компрометации в сети. Принцип минимальных привилегий также является ключевым элементом защиты от подобных атак.
- Источник новости
- www.securitylab.ru
