top of page
Foto do escritorDiego Arantes

Hackers Exploram o EDRSilencer para Burlar Segurança e Ocultar Atividades Maliciosas

Nos últimos tempos, ataques cibernéticos têm se tornado cada vez mais sofisticados. Entre as ferramentas empregadas por agentes maliciosos, destaca-se o EDRSilencer, uma técnica que explora a comunicação de soluções de segurança endpoint para ocultar atividades maliciosas. Este artigo detalha o funcionamento do EDRSilencer, suas táticas e técnicas usadas por hackers, e as medidas recomendadas para mitigar essa ameaça.

1. O que é o EDRSilencer?

O EDRSilencer é uma ferramenta de código aberto inicialmente desenvolvida para equipes de Red Team, usada para simular ataques e identificar vulnerabilidades. No entanto, hackers têm redirecionado seu uso para atividades maliciosas. Ele interfere diretamente nas soluções de Detecção e Resposta de Endpoint (EDR), bloqueando suas comunicações de rede e evitando que alertas ou telemetria sejam enviados para consoles de gerenciamento​(Hackers utilizam EDRSil…).

Essa técnica utiliza a Windows Filtering Platform (WFP) para interceptar e bloquear o tráfego de saída de processos relacionados a soluções EDR, como antivírus e firewalls, dificultando a detecção e a mitigação de malwares.


2. Funcionamento do EDRSilencer

A ferramenta bloqueia a comunicação de rede de processos EDR, essencialmente "silenciando" a capacidade de enviar informações críticas, como logs de detecção de malware. O EDRSilencer utiliza a WFP para criar filtros de rede que impedem que esses processos reportem atividades suspeitas aos servidores de gerenciamento. Esse bloqueio se estende tanto para o IPv4 quanto para o IPv6, garantindo que o tráfego de saída seja completamente interrompido.

Principais Funcionalidades:

  • Blockedr: Bloqueia automaticamente o tráfego de todos os processos EDR detectados​.

  • Block <path>: Bloqueia o tráfego de um processo específico, identificado pelo caminho completo do seu executável.

  • Unblockall: Remove todos os filtros WFP criados pela ferramenta​.


3. Cadeia de Ataque

O ataque começa com a descoberta de processos EDR em execução no sistema. Em seguida, a ferramenta aplica filtros que bloqueiam o tráfego de rede desses processos. Durante os testes, foi possível observar que, ao bloquear processos adicionais manualmente, a ferramenta se mostrou eficaz em silenciar as soluções de segurança, permitindo que o malware permanecesse indetectável​.


4. Técnicas Usadas no EDRSilencer (MITRE ATT&CK)

De acordo com o framework MITRE ATT&CK, as táticas e técnicas utilizadas por hackers ao usar o EDRSilencer incluem:

  • Descoberta (T1057): O adversário lista os processos em execução para identificar soluções de segurança.

  • Execução (T1059): Execução de código malicioso para silenciar processos de segurança.

  • Escalada de Privilégios (T1543.00): A ferramenta bloqueia a comunicação de processos EDR e mantém esse bloqueio persistente, mesmo após reinicializações​.


5. Recomendações de Mitigação

A fim de minimizar os riscos impostos pelo uso do EDRSilencer, é essencial que as organizações adotem uma abordagem de defesa em profundidade. Entre as recomendações mais eficazes estão:

  • Controles de Segurança Multicamadas: Implementar várias camadas de segurança, incluindo firewalls, antivírus, EDR e sistemas de detecção de intrusão (IDS).

  • Segmentação de Rede: Isolar sistemas críticos e dados sensíveis para impedir o movimento lateral de atacantes.

  • Análise Comportamental: Utilizar ferramentas que detectam anomalias comportamentais para identificar atividades incomuns, mesmo que o EDR tradicional seja ignorado​.

  • Princípio do Menor Privilégio: Garantir que usuários e aplicativos tenham acesso limitado, suficiente apenas para suas funções essenciais​.


6. Indicadores de Comprometimento (IoCs)

Abaixo estão alguns dos principais Indicadores de Comprometimento (IoCs) associados ao uso do EDRSilencer:

  • MD5: e389e3552b6a05f07293ac5ee72a4d75

  • SHA1: e36ee767c361f96c11ee9d78655c01e8e4b5e986

  • SHA256: 721af117726af1385c08cc6f49a801f3cf3f057d9fd26fcec2749455567888e7​


7. Considerações Finais

O uso do EDRSilencer é uma ameaça emergente e eficaz na ocultação de malwares dentro de sistemas comprometidos. A capacidade de bloquear a comunicação de soluções de segurança torna o processo de detecção extremamente difícil, aumentando as chances de ataques cibernéticos bem-sucedidos. Para mitigar essa ameaça, é vital que as organizações implementem controles de segurança robustos, que vão além das soluções tradicionais de detecção de malware.


Referências:

1 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page