EDRSilencer se koristi za izbjegavanje EDR softvera
EDRSilencer je softver otvorenog kôda, inspirisan MDSec NightHawk FireBlock alatom, koji ometa softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) blokiranjem mrežne komunikacije za povezane procese koristeći Windows Filtering Platform (WFP). Na taj način otežava se identifikovanje i uklanjanje zlonamjernog softvera, jer softver za detekciju i odgovor na prijetnje (EDR) ne mogu da šalju telemetriju ili upozorenja. Sada su sigurnosni istraživači kompanije Trend Micro otkrili zloupotrebu ovog alata.
EDRSILENCER
Zloupotreba legitimnih alata za penetracijsko testiranje kao što je EDRSilencer stvara sve veću zabrinutost u digitalnom okruženju. Zloupotrebom ovih, zlonamjerni akteri imaju za cilj da učine softver za detekciju i odgovor na prijetnje (EDR) neefikasnim i učine mnogo izazovnijim za bezbjednosne timove da identifikuju i uklone zlonamjerni softver.
EDR softver
Softveri za detekciju i odgovor na prijetnje (EDR) su napredni bezbjednosni alati dizajnirani prvenstveno za zaštitu krajnjih tačaka kao što su računari, serveri ili mobilni uređaji unutar mreže. Ova rješenja služe za kontinuirano praćenje ovih krajnjih tačaka u potrazi za bilo kakvim znacima zlonamjerne aktivnosti koje mogu ukazivati na potencijalnu sajber prijetnju.
Primarna funkcija softvera za detekciju i odgovor na prijetnje (EDR) je da otkrije prijetnje i odmah reaguje na njih analizirajući sistemske događaje u realnom vremenu. Ovo uključuje identifikovanje neobičnih obrazaca, anomalija ili sumnjivog ponašanja koje potencijalno može ukazivati na napad. Na taj način pomažu organizacijama da se proaktivno brane od sajber prijetnji pre nego što dođe do značajne štete.
Međutim, EDRSilencer zloupotreba predstavlja značajan rizik, jer je dizajniran da blokira mrežnu komunikaciju za procese povezane sa različitim softverima za detekciju i odgovor na prijetnje (EDR). Ove smetnje mogu spriječiti softvere za detekciju i odgovor na prijetnje (EDR) da šalju telemetriju ili upozorenja na svoje upravljačke konzole, što znatno otežava identifikaciju i uklanjanje zlonamjernog softvera.
Windows Filtering Platform (WFP)
Windows Filtering Platform (WFP)je integralni okvir u okviru Microsoft Windows operativnog sistema, posebno dizajniran za kreiranje mrežnog filtriranja i bezbjednosnih aplikacija. Ova robusna platforma služi kao moćan komplet alata za programere da konstruišu rješenja koja nadgledaju, blokiraju ili modifikuju mrežni saobraćaj na osnovu različitih kriterijuma kao što su IP adrese, portovi, protokoli i aplikacije.
Primarna WFP funkcija leži u njegovoj sposobnosti da primjeni prilagođena pravila koja regulišu ponašanje mrežnih komunikacija. Ova pravila se mogu prilagoditi različitim zahtevima, omogućavajući preciznu kontrolu nad odlaznim i dolaznim tokovima podataka. Ova fleksibilnost ga čini nezamjenjivom komponentom u širokom spektru bezbjednosnih aplikacija, uključujući zaštitne zidove, antivirusni softver, sisteme za sprečavanje upada (eng. intrusion prevention systems – IPS) i softvera za detekciju i odgovor na prijetnje (EDR).
Međutim, bitno je napomenuti da iako WFP igra vitalnu ulogu u jačanju bezbjednosti sistema, zlonamjerni akteri takođe mogu da iskoriste njegove sposobnosti u zlonamjerne svrhe. Na primjer, zlonamjerni akteri bi potencijalno mogli da koriste alatke kao što je EDRSilencer — koji koristi prednosti WFP funkcionalnosti — da blokiraju odlazni saobraćaj od pokretanja procesa softvera za detekciju i odgovor na prijetnje (EDR) i izbjegnu otkrivanje. Na taj način bi mogli uspjeti da prikriju svoje aktivnosti na sistemu, što će bezbjednosnim timovima učiniti izazovnijim da efikasno identifikuju i uklone zlonamjerni softver.
EDRSilencer zloupotreba
Testiranje sigurnosnih istraživača je pokazalo da kada se efikasno koristi, EDRSilencer može da spriječi bezbjednosne alate da šalju evidencije ili upozorenja, potvrđujući njegovu sposobnost da zaobiđe detekciju čak i u najbezbjednijem okruženjima. Blokiranjem telemetrijskih podataka i bezbjednosnih upozorenja, zlonamjerni akteri koji koriste ovu alatku mogu da sprovedu neovlaštene aktivnosti kao što su primjena zlonamjernog softvera, eskalacija privilegija ili eksfiltracija podataka bez podizanja alarma. Ova sposobnost čini EDRSilencer moćnim oružjem u kampanjama naprednih trajnih prijetnji (eng. Advanced persistent threat – APT) u raznim sajber napadima.
Alat podržava prekid različitih procesa koji se odnose na višestruke softvere za detekciju i odgovor na prijetnje (EDR) kao što su:
- Carbon Black Cloud,
- Carbon Black EDR,
- Cisco Secure Endpoint (ranije Cisco AMP),
- Cybereason,
- Cylance,
- Elastic EDR,
- ESET Inspect,
- FortiEDR,
- Harfanglab EDR,
- Microsoft Defender for Endpoint i Microsoft Defender Antivirus,
- Palo Alto Networks Traps/Cortex XDR,
- Qualys EDR,
- SentinelOne,
- Tanium,
- Trellix EDR,
- TrendMicro Apex One.
Ugrađivanjem ovog legitimnog alata za penetracijsko testiranje u svoj arsenal, zlonamjerni akteri imaju za cilj da učine softvere za detekciju i odgovor na prijetnje (EDR) neefikasnim, što otežava identifikaciju i uklanjanje zlonamjernog softvera.
Pored ove kodirane liste od 16 softvera za detekciju i odgovor na prijetnje (EDR), EDRSilencer omogućava zlonamjernim akterima da prilagode njegovo ponašanje dodavanjem filtera za specifične procese ili komponente softvera za detekciju i odgovor na prijetnje (EDR). Ovo prilagođavanje osigurava da se čak i djelimično blokirani softveri za detekciju i odgovor na prijetnje (EDR) mogu u potpunosti neutralisati u ciljanim napadima. Obezbjeđivanjem putanja datoteka dodatnih bezbjednosnih alata, zlonamjerni akteri mogu da prošire listu ciljeva izvan onih koji su podrazumijevano uključeni.
Prilagođena pravila implementirana u okviru EDRSilencer alata omogućavaju zlonamjernim akterima da presretnu i blokiraju mrežni saobraćaj koji bi inače upozorio server za upravljanje softverom za detekciju i odgovor na prijetnje (EDR) o sumnjivim aktivnostima. Blokiranjem telemetrijskih podataka i bezbjednosnih upozorenja, zlonamjerni akteri mogu da sprovode neovlaštene aktivnosti kao što je primjena zlonamjernog softvera, eskalacija privilegija ili eksfiltracija podataka bez podizanja alarma.
Uticaj
Povećana dostupnost ovog alata i njegove mogućnosti čine ga vrijednim sredstvom u kampanjama naprednih trajnih prijetnji (APT) zbog njegove sposobnosti da zaobiđe detekciju čak i u veoma bezbjednim okruženjima. Lista od 16 softvera za detekciju i odgovor na prijetnje (EDR), kao i mogućnost prilagođavanja EDRSilencer alata dodavanjem filtera za specifične procese ili komponente softvera za detekciju i odgovor na prijetnje (EDR) osigurava da se djelimično blokirana sigurnosna rješenja mogu u potpunosti neutralisati tokom ciljanih napada.
Kao i kod svakog alata za sajber bezbjednost, mogućnosti i efikasnost EDRSilencer alata će se vjerovatno vremenom razvijati. Zlonamjerni akteri mogu razviti nove tehnike ili modifikacije kako bi poboljšali njegovu funkcionalnost, otežavajući timovima za bezbjednost da otkriju i suprotstave se njegovoj upotrebi u napadima u stvarnom svetu. Za organizacije je od ključnog značaja da budu informisane o ovim dešavanjima i da shodno tome prilagode svoje strategije sajber bezbjednosti.
Uspon EDR zloupotreba
Alati za izbjegavanje softvera za detekciju i odgovor na prijetnje (EDR) postaju sve dostupniji zbog niske cijene. Sigurnosni istraživači su izvijestili da se ovi alati mogu kupiti za samo 350 američkih dolara mjesečno, što ih čini pristupačnim čak i za ransomware filijale i druge zlonamjerne aktere sa nižim nivoom tehničke stručnosti. Naprednije verzije se kreću od 7.500 do čak 15.000 američkih dolara za veliki spisak mogućnosti izbjegavanja softvera za detekciju i odgovor na prijetnje (EDR).
Ovo naglašava stalni trend da zlonamjerni akteri traže efikasnije alate za svoje napade, posebno one dizajnirane da onemoguće antivirusne softvere i softvere za detekciju i odgovor na prijetnje (EDR), pa između ostalog tu je pojava sljedećih zlonamjernih alatki:
- AvNeutralizer je sofisticirani alat koji je razvila finansijski motivisana zlonamjerna grupa FIN7. Dizajniran je da onemogući antivirusne procese na kompromitovanim sistemima i izbjegne otkrivanje od strane softvera za detekciju i odgovor na prijetnje (EDR). Alat se nudi na prodaju na raznim forumima za hakovanje na ruskom jeziku od aprila 2022. godine. Cijene se kreću od 4.000 do 15.000 američkih dolara u zavisnosti od specifičnih karakteristika.
- EDRKillShifter je izvršna datoteka za “učitavanje” koja služi kao mehanizam za isporuku legitimnog upravljačkog softvera koji je podložan zloupotrebama. Može da isporuči različite različite korisne terete (eng. payloads) u zavisnosti od zahteva zlonamjernog aktera.
- TrueSightKiller je uslužni program koji koriste ransomware napadači. On koristi tehniku Bring Your Own Vulnerable Driver (BYOVD) za onemogućavanje bezbjednosnog softvera na nivou jezgra sistema (eng. kernel level).
- GhostEngine je napredni hakerski komplet koji koristi kripto rudarenje za generisanje profita. On primjenjuje nekoliko modula da ubije agente softvera za detekciju i odgovor na prijetnje (EDR) koristeći ranjive drajvere i instalira kripto rudare na kompromitovane sisteme. Autori zlonamjernog softvera su ugradili brojne mehanizme za nepredviđene situacije, što ga čini značajnom prijetnjom za organizacije koje se oslanjaju na Windows operativne sisteme.
- Terminator je alatka koju je zlonamjerni akter pod nazivom SpyBoy reklamirao kao “EDR ubicu”. Ovaj zlonamjerni alat koristi ranjivost CVE-2024-1853, koja je ranjivost proizvoljnog prekida procesa identifikovana u Zemana AntiLogger 74.204.664. Svrha alata je da onemogući bezbjednosna rješenja na ciljanim sistemima korištenjem ranjivog drajvera Zemana AntiLogger.
ZAKLJUČAK
Digitalno okruženje se stalno razvija i zahtjeva proaktivan i prilagodljiv bezbjednosni stav, pa je potrebno voditi računa o EDRSilencer alatu koji predstavlja značajnu prijetnju organizacijama koje se za bezbjednost oslanjaju na softver za detekciju i odgovor na prijetnje (EDR). Prilagođavanjem ovog alata za specifične napade i zaobilaženjem mehanizama za otkrivanje čak i u najbezbjednijem okruženjima, zlonamjerni akteri mogu nekažnjeno da obavljaju neovlaštene aktivnosti. Zbog toga, organizacije moraju ostati na oprezu, koristeći napredne mehanizme i strategije za otkrivanje prijetnji kako bi se suprotstavili ovim sofisticiranim alatima i zaštitili svoju digitalnu imovinu.
Da bi se efikasno suprotstavile ovim prijetnjama, organizacije moraju usvojiti višeslojnu odbranu, primijeniti segmentaciju mreže, strategije dubinske odbrane, napredne tehnike lova na prijetnje i kontinuirano praćenje kako bi bile ispred zlonamjernih aktera. Kako zlonamjerni akteri nastavljaju da inoviraju i proizvođači bezbjednosnih riješenja moraju istrajati u svojoj posvećenosti na poboljšanju bezbjednosnih mjera i razmjeni uvida kako bi se zaštitili od budućih napada.
ZAŠTITA
Suočeni sa evoluirajućim okruženjem prijetnji i pojavom sofisticiranih alata kao što je EDRSilencer, od ključne je važnosti za organizacije da usvoje višeslojni pristup bezbjednosti. Evo nekoliko preporuka o tome kako organizacije mogu efikasno da zaštitite svoje sisteme od ove moćne alatke dizajnirane da zaobiđe softver za detekciju i odgovor na prijetnje (EDR):
- Potrebno je razumijevanje prijetnje kroz upoznavanje sa EDRSilencer alatom, njegovim mogućnostima i metodama koje koristi da izbjegne otkrivanje. Ovo znanje može pomoći organizacijama da efikasnije identifikuju potencijalne indikatore kompromisa u svom okruženju,
- Preporuka je primjena jake strategije segmentacije mreže da bi se ograničilo bočno kretanje unutar infrastrukture organizacije. Kroz segmentaciju, zlonamjernim akterima koji koriste EDRSilencer bilo bi teže da pređu sa jednog sistema na drugi, a da ne budu otkriveni,
- Investirati u robusne softvere za detekciju i odgovor na prijetnje (EDR) koji mogu da otkriju anomalna ponašanja, obezbijede obavještajne podatke o prijetnjama u realnom vremenu i nude mogućnosti automatskog odgovora. Redovno ažurirati softvere za detekciju i odgovor na prijetnje (EDR) da bi se osiguralo da imaju najnoviju zaštitu od novih prijetnji kao što je EDRSilencer,
- Primjenjivati listu dozvoljenih aplikacija na kritičnim sistemima da bi se dozvolilo pokretanje samo ovlašćenih aplikacija. Ova mjera može pomoći u sprečavanju izvršavanja neovlaštenih procesa povezanih sa različitim softverima za detekciju i odgovor na prijetnje (EDR), čime se smanjuje efikasnost alata kao što je EDRSilencer,
- Kontinuirano pratiti mrežni saobraćaj u potrazi za sumnjivim aktivnostima kao što su neobični obrasci ili komunikacija između poznatih zlonamjernih IP adresa/domena i sistema organizacije. Implementirati sisteme za otkrivanje i prevenciju upada (eng. intrusion detection and prevention systems – IDPS) da bi se automatski blokirale potencijalne prijetnje na osnovu unaprijed definisanih pravila ili analize ponašanja,
- Uvjeriti se da su softveri za detekciju i odgovor na prijetnje (EDR) ažurni, pravilno konfigurisani i da se redovno skeniranju u potrazi za ranjivostima. Ova rješenja bi trebalo da budu u stanju da otkriju i spriječe izvršavanje zlonamjernih datoteka povezanih sa EDRSilencer ili sličnim alatima,
- Obučiti zaposlene da prepoznaju taktike društvenog inženjeringa, phishing pokušaje i druge uobičajene metode koje zlonamjerni akteri koriste da bi dobili pristup sistemima. Manje je vjerovatno da će obrazovani korisnici nasjedati na ove trikove, smanjujući rizik od početnog kompromisa koji bi mogao da dovede do primjene EDRSilencer alata u okruženju organizacije,
- Potreban je dobro definisan Plan odgovora na sajber prijetnju da bi se brzo identifikovalo i odgovorilo na potencijalne prijetnje kao što je EDRSilencer. Ovaj plan treba da sadrži korake za obuzdavanje, iskorjenjivanje, oporavak i analizu nakon incidenta kako bi se smanjio uticaj napada na organizaciju,
- Redovno provjeravati sisteme u potrazi za ranjivostima i pogrešnim konfiguracijama koje bi mogao da iskoristi EDRSilencer ili drugi alati dizajnirani da izbjegnu otkrivanje. Odmah riješiti sve identifikovane probleme kako bi se smanjio rizik od uspješnog kompromitovanja sistema,
- Sarađivati sa drugim organizacijama, industrijskim grupama i platformama za obavještavanje o prijetnjama kako bi se dijelile informacije o novim prijetnjama kao što je EDRSilencer. Ova saradnja može pomoći da se ostane informisan o novim indikatorima kompromisa, taktikama, tehnikama i procedurama koje koriste zlonamjerni akteri, tako da organizacija može prilagoditi svoju odbranu u skladu sa tim,
Primjenom ovih preporuka, organizacije mogu značajno da poboljšaju svoju sposobnost da efikasno otkriju, reaguju i ublaže prijetnje kao što je EDRSilencer, obezbeđujući bezbjednije digitalno okruženje i za podatke i za korisnike.