EDRSilencer es una herramienta diseñada para mejorar la privacidad y seguridad de los datos “silenciando” o “bloqueando” la transmisión de datos innecesaria desde los puntos finales.
Esta herramienta se puede utilizar junto con los sistemas EDR para mejorar las medidas generales de ciberseguridad y proporcionar una capa adicional de protección contra “fugas de datos”.
El equipo de búsqueda de amenazas de Trend Micro descubrió recientemente que los piratas informáticos están abusando activamente de la herramienta del equipo rojo “EDRSilencer” para evadir la detección.
EDRSilencer es una herramienta de equipos rojos descubierta recientemente que explotaba 'WFP' para alterar las soluciones 'EDR'.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
EDR es una herramienta de seguridad que monitorea su computadora en busca de actividad maliciosa. Esta herramienta puede bloquear la comunicación de red para varios procesos EDR impidiéndoles enviar “alertas” o “telemetría” a la consola de administración.
Funciona identificando dinámicamente los “procesos EDR” en ejecución y creando un “filtro WFP” que bloquea la comunicación de red saliente tanto en “IPv4” como en “IPv6”.
Estos filtros sobreviven a un “reinicio del sistema”. EDRSilencer proporciona una “interfaz de línea de comandos” con opciones para bloquear todos los “procesos EDR” detectados, “bloquear procesos específicos” o “eliminar filtros”. Esto demostró efectivamente cómo los atacantes pueden usar esta técnica para evadir la detección.
Esto pone de relieve un desafío continuo en materia de ciberseguridad, donde las herramientas diseñadas para mejorar la seguridad pueden “reutilizarse” para fines maliciosos, pero el informe de Trend Micro afirma: Está escrito.
Cadena de ataque EDRSilencer (Fuente – Trend Micro)
Destaca la necesidad de una adaptación continua de la “estrategia de defensa”.
EDRSilencer funciona mediante un “proceso de varios pasos”.
Primero, descubra el proceso EDR que se ejecuta en el sistema de destino. Luego, esto se hace bloqueando el tráfico de red de estos procesos utilizando filtros del PMA.
Estos filtros son persistentes, por lo que le ayudan a sobrevivir a los reinicios del sistema. EDRSilencer puede bloquear todos los “procesos EDR” detectados o “procesos específicos de destino” mediante la “ruta del archivo”.
EDRSilencer ciega efectivamente estos sistemas de seguridad al evitar que las herramientas EDR envíen “telemetría”, “alertas” y “registros” a la consola de administración.
Esto permite que el malware y otras actividades maliciosas funcionen “sin ser detectados”.
Las pruebas revelaron que, si bien algunos “procesos EDR” inicialmente mantuvieron la comunicación, el bloqueo de “procesos no documentados” adicionales confirmó la eficacia de la herramienta.
Recomendaciones
Hemos enumerado todas las recomendaciones a continuación: –
Implemente controles de seguridad de múltiples capas. Fortalecer la seguridad de los terminales. Realizar monitoreo continuo y búsqueda de amenazas. Implementar fuertes controles de acceso.
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
