EDRSilencer red team tool used in attacks to bypass security

EDRSilencerと呼ばれるレッドチームオペレーション用のツールが、セキュリティツールを特定し、管理コンソールへのアラートをミュートしようとする悪意のあるインシデントで確認されている。

サイバーセキュリティ企業Trend Microの研究者は、攻撃者は検出を回避するために攻撃にEDRSilencerを統合しようとしていると述べています。

“当社の内部遠隔測定では、脅威行為者が攻撃にEDRSilencerを統合し、検出を回避する手段として再利用しようとしていることが示されました。”- トレンドマイクロ

「EDR製品の「ミュート

EDR(Endpoint Detection and Response)ツールは、デバイスを監視し、サイバー脅威から保護するセキュリティソリューションです。

高度な分析と常に更新されるインテリジェンスを使用して、既知および新規の脅威を識別し、脅威の発生源、影響、拡散に関する詳細なレポートを防御側に送信しながら自動的に対応します。

EDRSilencerは、MdSecのNightHawk FireBlockにインスパイアされたオープンソースのツールで、独自のペンテストツールであり、実行中のEDRプロセスを検出し、Windowsフィルタリングプラットフォーム(WFP)を使用して、IPv4およびIPv6通信プロトコルのネットワークトラフィックを監視、ブロック、または変更します。

WFPは通常、ファイアウォール、アンチウイルス、その他のセキュリティ・ソリューションなどのセキュリティ製品で使用され、プラットフォームで設定されたフィルタは永続的です。

カスタム・ルールが設定されていれば、攻撃者はEDRツールとその管理サーバー間の常時データ交換を妨害し、アラートや詳細な遠隔測定レポートの配信を妨げることができる。

最新バージョンでは、EDRSilencerは以下を含む16の最新のEDRツールを検出し、ブロックします:

  • マイクロソフト・ディフェンダー
  • SentinelOne
  • FortiEDR
  • パロアルトネットワークス Traps/Cortex XDR
  • Cisco Secure Endpoint(旧AMP)
  • ElasticEDR
  • カーボンブラックEDR
  • トレンドマイクロ Apex One
Blocking the traffic of hardcoded executables
ハードコードされた実行ファイルのトラフィックをブロック
Source:トレンドマイクロ

トレンドマイクロがEDRSilencerを使用してテストした結果、影響を受けたEDRツールの一部は、1つまたは複数の実行可能ファイルがレッドチームツールのハードコードされたリストに含まれていないため、レポートを送信できる可能性があることがわかりました。

しかし、EDRSilencerは、攻撃者がファイルパスを提供することによって特定のプロセスに対するフィルタを追加するオプションを提供しているため、さまざまなセキュリティツールをカバーするために対象となるプロセスのリストを拡張することが可能です。

「ハードコードされたリストに含まれていない追加のプロセスを特定してブロックした後、EDRツールはログの送信に失敗し、ツールの有効性が確認されました

「これにより、マルウェアやその他の悪意のある活動が検出されずに残り、検出や介入なしに攻撃が成功する可能性が高まります」と研究者は述べています。

EDRSilencer attack chain
EDRSilencerの攻撃チェーン
ソースはこちら:トレンドマイクロ

EDRSilencerに対するトレンドマイクロのソリューションは、ツールをマルウェアとして検出し、攻撃者がセキュリティツールを無効にする前に停止させることです。

さらに、研究者は、重要なシステムを分離し、冗長性を確保するために、多層的なセキュリティ制御を実施すること、行動分析や異常検知を提供するセキュリティ・ソリューションを使用すること、ネットワーク上の侵害の指標を探すこと、最小特権の原則を適用することを推奨している。