Un outil pour les opérations de l’équipe rouge appelé EDRSilencer a été observé dans des incidents malveillants tentant d’identifier les outils de sécurité et de désactiver leurs alertes sur les consoles de gestion.
Des chercheurs de la société de cybersécurité Trend Micro affirment que les attaquants tentent d’intégrer EDRSilencer dans les attaques pour échapper à la détection.
« Notre télémétrie interne a montré que les acteurs de la menace tentaient d’intégrer EDRSilencer dans leurs attaques, en le réutilisant comme moyen d’échapper à la détection. »- Trend Micro.
” Mise en sourdine » des produits EDR
Les outils de détection et de réponse des terminaux (EDR) sont des solutions de sécurité qui surveillent et protègent les appareils contre les cybermenaces.
Ils utilisent des analyses avancées et des renseignements constamment mis à jour pour identifier les menaces, connues et nouvelles, et y répondre automatiquement tout en envoyant un rapport détaillé aux défenseurs sur l’origine, l’impact et la propagation de la menace.
EDRSilencer est un outil open source inspiré de MdSec NightHawk FireBlock, un outil de test de stylo propriétaire, qui détecte les processus EDR en cours d’exécution et utilise Windows Filtering Platform (WFP) pour surveiller, bloquer ou modifier le trafic réseau sur les protocoles de communication IPv4 et IPv6.
WFP est généralement utilisé dans les produits de sécurité tels que les pare-feu, les antivirus et d’autres solutions de sécurité, et les filtres définis dans la plate-forme sont persistants.
Avec des règles personnalisées en place, un attaquant peut perturber l’échange constant de données entre un outil EDR et son serveur de gestion, empêchant la livraison d’alertes et de rapports de télémétrie détaillés.
Dans sa dernière version, EDRSilencer détecte et bloque 16 outils EDR modernes, notamment:
- Microsoft Défenseur
- SentinélOne
- Fortier
- Pièges Palo Alto Networks / Cortex XDR
- Point de terminaison sécurisé Cisco (anciennement AMP)
- Élastique
- Noir de Carbone EDR
- Caractéristiques techniques de Trend Micro Apex One
Les tests de TrendMicro avec EDRSilencer ont montré que certains des outils EDR impactés peuvent toujours être en mesure d’envoyer des rapports car un ou plusieurs de leurs exécutables ne sont pas inclus dans la liste codée en dur de l’outil red team.
Cependant, EDRSilencer donne aux attaquants la possibilité d’ajouter des filtres pour des processus spécifiques en fournissant des chemins de fichiers, il est donc possible d’étendre la liste des processus ciblés pour couvrir divers outils de sécurité.
“Après avoir identifié et bloqué des processus supplémentaires non inclus dans la liste codée en dur, les outils EDR n’ont pas réussi à envoyer de journaux, confirmant l’efficacité de l’outil”, explique Trend Micro dans le rapport.
“Cela permet aux logiciels malveillants ou à d’autres activités malveillantes de ne pas être détectés, augmentant ainsi le potentiel d’attaques réussies sans détection ni intervention”, expliquent les chercheurs.
La solution de TrendMicro à EDRSilencer consiste à détecter l’outil en tant que logiciel malveillant, en l’arrêtant avant qu’il ne permette aux attaquants de désactiver les outils de sécurité.
De plus, les chercheurs recommandent de mettre en œuvre des contrôles de sécurité multicouches pour isoler les systèmes critiques et créer une redondance, d’utiliser des solutions de sécurité qui fournissent une analyse comportementale et une détection des anomalies, de rechercher des indicateurs de compromission sur le réseau et d’appliquer le principe du moindre privilège.