Nos últimos tempos, ataques cibernéticos têm se tornado cada vez mais sofisticados. Entre as ferramentas empregadas por agentes maliciosos, destaca-se o EDRSilencer, uma técnica que explora a comunicação de soluções de segurança endpoint para ocultar atividades maliciosas. Este artigo detalha o funcionamento do EDRSilencer, suas táticas e técnicas usadas por hackers, e as medidas recomendadas para mitigar essa ameaça.
1. O que é o EDRSilencer?
O EDRSilencer é uma ferramenta de código aberto inicialmente desenvolvida para equipes de Red Team, usada para simular ataques e identificar vulnerabilidades. No entanto, hackers têm redirecionado seu uso para atividades maliciosas. Ele interfere diretamente nas soluções de Detecção e Resposta de Endpoint (EDR), bloqueando suas comunicações de rede e evitando que alertas ou telemetria sejam enviados para consoles de gerenciamento(Hackers utilizam EDRSil…).
Essa técnica utiliza a Windows Filtering Platform (WFP) para interceptar e bloquear o tráfego de saída de processos relacionados a soluções EDR, como antivírus e firewalls, dificultando a detecção e a mitigação de malwares.
2. Funcionamento do EDRSilencer
A ferramenta bloqueia a comunicação de rede de processos EDR, essencialmente "silenciando" a capacidade de enviar informações críticas, como logs de detecção de malware. O EDRSilencer utiliza a WFP para criar filtros de rede que impedem que esses processos reportem atividades suspeitas aos servidores de gerenciamento. Esse bloqueio se estende tanto para o IPv4 quanto para o IPv6, garantindo que o tráfego de saída seja completamente interrompido.
Principais Funcionalidades:
Blockedr: Bloqueia automaticamente o tráfego de todos os processos EDR detectados.
Block <path>: Bloqueia o tráfego de um processo específico, identificado pelo caminho completo do seu executável.
Unblockall: Remove todos os filtros WFP criados pela ferramenta.
3. Cadeia de Ataque
O ataque começa com a descoberta de processos EDR em execução no sistema. Em seguida, a ferramenta aplica filtros que bloqueiam o tráfego de rede desses processos. Durante os testes, foi possível observar que, ao bloquear processos adicionais manualmente, a ferramenta se mostrou eficaz em silenciar as soluções de segurança, permitindo que o malware permanecesse indetectável.
4. Técnicas Usadas no EDRSilencer (MITRE ATT&CK)
De acordo com o framework MITRE ATT&CK, as táticas e técnicas utilizadas por hackers ao usar o EDRSilencer incluem:
Descoberta (T1057): O adversário lista os processos em execução para identificar soluções de segurança.
Execução (T1059): Execução de código malicioso para silenciar processos de segurança.
Escalada de Privilégios (T1543.00): A ferramenta bloqueia a comunicação de processos EDR e mantém esse bloqueio persistente, mesmo após reinicializações.
5. Recomendações de Mitigação
A fim de minimizar os riscos impostos pelo uso do EDRSilencer, é essencial que as organizações adotem uma abordagem de defesa em profundidade. Entre as recomendações mais eficazes estão:
Controles de Segurança Multicamadas: Implementar várias camadas de segurança, incluindo firewalls, antivírus, EDR e sistemas de detecção de intrusão (IDS).
Segmentação de Rede: Isolar sistemas críticos e dados sensíveis para impedir o movimento lateral de atacantes.
Análise Comportamental: Utilizar ferramentas que detectam anomalias comportamentais para identificar atividades incomuns, mesmo que o EDR tradicional seja ignorado.
Princípio do Menor Privilégio: Garantir que usuários e aplicativos tenham acesso limitado, suficiente apenas para suas funções essenciais.
6. Indicadores de Comprometimento (IoCs)
Abaixo estão alguns dos principais Indicadores de Comprometimento (IoCs) associados ao uso do EDRSilencer:
MD5: e389e3552b6a05f07293ac5ee72a4d75
SHA1: e36ee767c361f96c11ee9d78655c01e8e4b5e986
SHA256: 721af117726af1385c08cc6f49a801f3cf3f057d9fd26fcec2749455567888e7
7. Considerações Finais
O uso do EDRSilencer é uma ameaça emergente e eficaz na ocultação de malwares dentro de sistemas comprometidos. A capacidade de bloquear a comunicação de soluções de segurança torna o processo de detecção extremamente difícil, aumentando as chances de ataques cibernéticos bem-sucedidos. Para mitigar essa ameaça, é vital que as organizações implementem controles de segurança robustos, que vão além das soluções tradicionais de detecção de malware.
Referências:
Comments