Ένα εργαλείο για λειτουργίες της κόκκινης ομάδας που ονομάζεται EDRSsilencer έχει παρατηρηθεί σε κακόβουλα περιστατικά που προσπαθούν να εντοπίσουν εργαλεία ασφαλείας και να απενεργοποιήσουν τις ειδοποιήσεις τους στις κονσόλες διαχείρισης.
Ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro λένε ότι οι εισβολείς προσπαθούν να ενσωματώσουν το EDRSilencer σε επιθέσεις για να αποφύγουν τον εντοπισμό.
«Η εσωτερική μας τηλεμετρία έδειξε παράγοντες απειλών που προσπαθούσαν να ενσωματώσουν το EDRSilencer στις επιθέσεις τους, επαναχρησιμοποιώντας το ως μέσο αποφυγής ανίχνευσης». – Trend Micro.
«Σίγαση» προϊόντων EDR
Τα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR) είναι λύσεις ασφαλείας που παρακολουθούν και προστατεύουν τις συσκευές από απειλές στον κυβερνοχώρο.
Χρησιμοποιούν προηγμένα αναλυτικά στοιχεία και συνεχώς ενημερωμένη νοημοσύνη για τον εντοπισμό απειλών, γνωστών και νέων, και ανταποκρίνονται αυτόματα ενώ στέλνουν μια λεπτομερή αναφορά στους υπερασπιστές σχετικά με την προέλευση, τον αντίκτυπο και την εξάπλωση της απειλής.
Το EDRSsilencer είναι ένα ανοιχτού κώδικα εργαλείο εμπνευσμένο από το MdSec NightHawk FireBlock, ένα ιδιόκτητο εργαλείο δοκιμών στυλό, το οποίο εντοπίζει διεργασίες EDR που εκτελούνται και χρησιμοποιεί Windows Filtering Platform (WFP) για την παρακολούθηση, τον αποκλεισμό ή την τροποποίηση της κυκλοφορίας δικτύου στο πρωτόκολλο επικοινωνίας IPv4 και IPv6.
Το WFP χρησιμοποιείται συνήθως σε προϊόντα ασφαλείας, όπως τείχη προστασίας, προστασία από ιούς και άλλες λύσεις ασφαλείας και τα φίλτρα που έχουν οριστεί στην πλατφόρμα είναι μόνιμα.
Με προσαρμοσμένους κανόνες σε ισχύ, ένας εισβολέας μπορεί να διακόψει τη συνεχή ανταλλαγή δεδομένων μεταξύ ενός εργαλείου EDR και του διακομιστή διαχείρισής του, αποτρέποντας την παράδοση ειδοποιήσεων και λεπτομερών αναφορών τηλεμετρίας.
Στην τελευταία του έκδοση, το EDRSilencer εντοπίζει και αποκλείει 16 σύγχρονα εργαλεία EDR, συμπεριλαμβανομένων:
- Microsoft Defender
- SentinelOne
- FortiEDR
- Palo Alto Networks Traps/Cortex XDR
- Cisco Secure Endpoint (πρώην AMP)
- ElasticEDR
- Carbon Black EDR
- TrendMicro Apex One
Οι δοκιμές της TrendMicro με το EDRSilencer έδειξαν ότι ορισμένα από τα επηρεαζόμενα εργαλεία EDR ενδέχεται να εξακολουθούν να είναι σε θέση να στέλνουν αναφορές λόγω του ότι ένα ή περισσότερα από τα εκτελέσιμα αρχεία τους δεν περιλαμβάνονται στη λίστα με σκληρό κώδικα του εργαλείου της κόκκινης ομάδας.
Ωστόσο, το EDRSilencer δίνει στους εισβολείς την επιλογή να προσθέσουν φίλτρα για συγκεκριμένες διεργασίες παρέχοντας διαδρομές αρχείων, επομένως είναι δυνατό να επεκταθεί η λίστα των στοχευμένων διεργασιών για να καλύψει διάφορα εργαλεία ασφαλείας.
“Μετά τον εντοπισμό και τον αποκλεισμό πρόσθετων διεργασιών που δεν περιλαμβάνονται στη λίστα με σκληρό κώδικα, τα εργαλεία EDR απέτυχαν να στείλουν αρχεία καταγραφής, επιβεβαιώνοντας την αποτελεσματικότητα του εργαλείου.” Η Trend Micro εξηγεί στην έκθεση.
«Αυτό επιτρέπει στο κακόβουλο λογισμικό ή άλλες κακόβουλες δραστηριότητες να παραμένουν μη ανιχνεύσιμες, αυξάνοντας τις πιθανότητες για επιτυχημένες επιθέσεις χωρίς εντοπισμό ή παρέμβαση», λένε οι ερευνητές.
Η λύση της TrendMicro στο EDRSilencer είναι να ανιχνεύσει το εργαλείο ως κακόβουλο λογισμικό, σταματώντας το προτού επιτρέψει στους εισβολείς να απενεργοποιήσουν τα εργαλεία ασφαλείας.
Επιπλέον, οι ερευνητές συνιστούν την εφαρμογή πολυεπίπεδων ελέγχων ασφαλείας για την απομόνωση κρίσιμων συστημάτων και τη δημιουργία πλεονασμού, τη χρήση λύσεων ασφαλείας που παρέχουν ανάλυση συμπεριφοράς και ανίχνευση ανωμαλιών, την αναζήτηση δεικτών συμβιβασμού στο δίκτυο και την εφαρμογή της αρχής του ελάχιστου προνομίου.
VIA: bleepingcomputer.com