VietNetwork.Vn

Những kẻ tấn công đang cố gắng lợi dụng công cụ EDRSilencer nguồn mở như một phần trong nỗ lực can thiệp vào các giải pháp phát hiện và phản hồi điểm cuối (EDR) và che giấu hoạt động độc hại.

Trend Micro cho biết họ đã phát hiện "những kẻ đe dọa đang cố gắng tích hợp EDRSilencer vào các cuộc tấn công của chúng, sử dụng nó như một phương tiện để trốn tránh bị phát hiện".


EDRSilencer, lấy cảm hứng từ công cụ NightHawk FireBlock của MDSec, được thiết kế để chặn lưu lượng truy cập ra của các quy trình EDR đang chạy bằng Nền tảng lọc Windows ( WFP ).

Nó hỗ trợ chấm dứt nhiều quy trình liên quan đến sản phẩm EDR từ Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab và Trend Micro.

Bằng cách kết hợp các công cụ nhóm đỏ hợp pháp như vậy vào kho vũ khí của mình, mục tiêu là làm cho phần mềm EDR trở nên kém hiệu quả và khiến việc xác định và loại bỏ phần mềm độc hại trở nên khó khăn hơn nhiều.

"WFP là một khuôn khổ mạnh mẽ được tích hợp vào Windows để tạo các ứng dụng lọc mạng và bảo mật", các nhà nghiên cứu của Trend Micro cho biết. "Nó cung cấp API cho các nhà phát triển để xác định các quy tắc tùy chỉnh nhằm giám sát, chặn hoặc sửa đổi lưu lượng mạng dựa trên nhiều tiêu chí khác nhau, chẳng hạn như địa chỉ IP, cổng, giao thức và ứng dụng".

"WFP được sử dụng trong tường lửa, phần mềm diệt vi-rút và các giải pháp bảo mật khác để bảo vệ hệ thống và mạng."


EDRSilencer tận dụng WFP bằng cách xác định động các quy trình EDR đang chạy và tạo các bộ lọc WFP liên tục để chặn các liên lạc mạng đi của chúng trên cả IPv4 và IPv6, do đó ngăn phần mềm bảo mật gửi dữ liệu từ xa đến bảng điều khiển quản lý của chúng.

Về cơ bản, cuộc tấn công này hoạt động bằng cách quét hệ thống để thu thập danh sách các tiến trình đang chạy liên quan đến các sản phẩm EDR phổ biến, sau đó chạy EDRSilencer với đối số "blockedr" (ví dụ: EDRSilencer.exe blockedr) để ngăn chặn lưu lượng truy cập đi từ các tiến trình đó bằng cách cấu hình bộ lọc WFP.

"Điều này cho phép phần mềm độc hại hoặc các hoạt động độc hại khác không bị phát hiện, làm tăng khả năng tấn công thành công mà không bị phát hiện hoặc can thiệp", các nhà nghiên cứu cho biết. "Điều này làm nổi bật xu hướng đang diễn ra của các tác nhân đe dọa tìm kiếm các công cụ hiệu quả hơn cho các cuộc tấn công của họ, đặc biệt là các công cụ được thiết kế để vô hiệu hóa các giải pháp chống vi-rút và EDR".

Sự phát triển này diễn ra khi các nhóm ransomware ngày càng sử dụng nhiều công cụ tiêu diệt EDR mạnh mẽ như AuKill (hay còn gọi là AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver và Terminator, với các chương trình này biến các trình điều khiển dễ bị tấn công thành vũ khí để leo thang đặc quyền và chấm dứt các quy trình liên quan đến bảo mật.

Trend Micro cho biết trong một phân tích gần đây: "EDRKillShifter tăng cường cơ chế duy trì bằng cách sử dụng các kỹ thuật đảm bảo sự hiện diện liên tục của nó trong hệ thống, ngay cả sau khi các xâm phạm ban đầu được phát hiện và xóa bỏ".

"Nó phá vỡ các quy trình bảo mật theo thời gian thực và điều chỉnh các phương pháp khi khả năng phát hiện phát triển, luôn đi trước các công cụ EDR truyền thống một bước."