Pelaku ancaman mencoba menyalahgunakan alat EDRSilencer sumber terbuka sebagai bagian dari upaya untuk merusak solusi deteksi dan respons titik akhir (EDR) dan menyembunyikan aktivitas jahat.
Trend Micro mengatakan pihaknya mendeteksi “aktor ancaman yang mencoba mengintegrasikan EDRSilencer dalam serangan mereka, menggunakannya kembali sebagai cara untuk menghindari deteksi.”
EDRSilencer, terinspirasi oleh alat NightHawk FireBlock dari MDSec, dirancang untuk memblokir lalu lintas keluar dari proses EDR yang berjalan menggunakan Windows Filtering Platform (WFP).
Ini mendukung penghentian berbagai proses yang terkait dengan produk EDR dari Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, dan Trend Micro.
Dengan memasukkan alat tim merah yang sah ke dalam gudang senjata mereka, tujuannya adalah membuat perangkat lunak EDR menjadi tidak efektif dan membuatnya lebih sulit untuk mengidentifikasi dan menghapus malware.
“WFP adalah kerangka kerja kuat yang dibangun ke dalam Windows untuk menciptakan pemfilteran jaringan dan aplikasi keamanan,” kata peneliti Trend Micro. “Ini menyediakan API bagi pengembang untuk menentukan aturan khusus untuk memantau, memblokir, atau mengubah lalu lintas jaringan berdasarkan berbagai kriteria, seperti alamat IP, port, protokol, dan aplikasi.”
“WFP digunakan di firewall, perangkat lunak antivirus, dan solusi keamanan lainnya untuk melindungi sistem dan jaringan.”
EDRSilencer memanfaatkan WFP dengan secara dinamis mengidentifikasi proses EDR yang berjalan dan membuat filter WFP persisten untuk memblokir komunikasi jaringan keluar pada IPv4 dan IPv6, sehingga mencegah perangkat lunak keamanan mengirimkan telemetri ke konsol manajemennya.
Serangan ini pada dasarnya bekerja dengan memindai sistem untuk mengumpulkan daftar proses berjalan yang terkait dengan produk EDR umum, diikuti dengan menjalankan EDRSilencer dengan argumen “blockedr” (misalnya, EDRSilencer.exe diblokirr) untuk menghambat lalu lintas keluar dari proses tersebut dengan mengkonfigurasi filter WFP .
“Hal ini memungkinkan malware atau aktivitas berbahaya lainnya tetap tidak terdeteksi, sehingga meningkatkan potensi keberhasilan serangan tanpa deteksi atau intervensi,” kata para peneliti. “Hal ini menyoroti tren yang sedang berlangsung dari para pelaku ancaman yang mencari alat yang lebih efektif untuk serangan mereka, terutama yang dirancang untuk menonaktifkan solusi antivirus dan EDR.”
Perkembangan ini terjadi ketika kelompok ransomware menggunakan alat pembunuh EDR yang tangguh seperti AuKill (alias AvNeutralizer), EDRKillShifter, TrueSightKiller, GhostDriver, dan Terminator yang sedang meningkat, dengan program-program ini mempersenjatai pengemudi yang rentan untuk meningkatkan hak istimewa dan menghentikan proses terkait keamanan.
“EDRKillShifter meningkatkan mekanisme persistensi dengan menggunakan teknik yang memastikan keberadaannya secara berkelanjutan dalam sistem, bahkan setelah gangguan awal ditemukan dan dibersihkan,” kata Trend Micro dalam analisis terbarunya.
“Alat ini secara dinamis mengganggu proses keamanan secara real-time dan mengadaptasi metodenya seiring berkembangnya kemampuan deteksi, sehingga tetap selangkah lebih maju dibandingkan alat EDR tradisional.”
