{"id":7319,"date":"2024-10-26T23:15:04","date_gmt":"2024-10-26T21:15:04","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7319"},"modified":"2024-10-26T23:15:04","modified_gmt":"2024-10-26T21:15:04","slug":"edrsilencer-se-koristi-za-izbjegavanje-edr","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/","title":{"rendered":"EDRSilencer se koristi za izbjegavanje EDR softvera"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>EDRSilencer<\/em> je softver otvorenog k\u00f4da, inspirisan <em>MDSec NightHawk FireBlock<\/em> alatom, koji ometa softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) blokiranjem mre\u017ene komunikacije za povezane procese koriste\u0107i <em>Windows Filtering Platform<\/em> (<em>WFP<\/em>). Na taj na\u010din ote\u017eava se identifikovanje i uklanjanje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a>, jer softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>) ne mogu da \u0161alju telemetriju ili upozorenja. Sada su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> kompanije Trend Micro <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/j\/edrsilencer-disrupting-endpoint-security-solutions.html\" target=\"_blank\" rel=\"noopener\">otkrili zloupotrebu ovog alata<\/a>.<\/span><\/p>\n<div id=\"attachment_7322\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7322\" class=\"size-full wp-image-7322\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool.jpg\" alt=\"EDRSilencer\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/EDRSilencer-tool-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7322\" class=\"wp-caption-text\"><em>EDRSilencer se koristi za izbjegavanje EDR softvera; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#EDRSILENCER\">EDRSILENCER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#EDR_softver\">EDR softver<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#Windows_Filtering_Platform_WFP\">Windows Filtering Platform (WFP)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#EDRSilencer_zloupotreba\">EDRSilencer zloupotreba<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#Uticaj\">Uticaj<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#Uspon_EDR_zloupotreba\">Uspon EDR zloupotreba<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/26\/edrsilencer-se-koristi-za-izbjegavanje-edr\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"EDRSILENCER\"><\/span><strong><em>EDRSILENCER<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zloupotreba legitimnih alata za penetracijsko testiranje kao \u0161to je <em>EDRSilencer<\/em> stvara sve ve\u0107u zabrinutost u digitalnom okru\u017eenju. Zloupotrebom ovih, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> imaju za cilj da u\u010dine softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>) neefikasnim i u\u010dine mnogo izazovnijim za bezbjednosne timove da identifikuju i uklone zlonamjerni softver.<\/span><\/p>\n<p><em>\u00a0<\/em><\/p>\n<h3><span class=\"ez-toc-section\" id=\"EDR_softver\"><\/span><strong><em>EDR <\/em>softver<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) su napredni bezbjednosni alati dizajnirani prvenstveno za za\u0161titu krajnjih ta\u010daka kao \u0161to su ra\u010dunari, serveri ili mobilni ure\u0111aji unutar mre\u017ee. Ova rje\u0161enja slu\u017ee za kontinuirano pra\u0107enje ovih krajnjih ta\u010daka u potrazi za bilo kakvim znacima zlonamjerne aktivnosti koje mogu ukazivati na potencijalnu sajber prijetnju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primarna funkcija softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) je da otkrije prijetnje i odmah reaguje na njih analiziraju\u0107i sistemske doga\u0111aje u realnom vremenu. Ovo uklju\u010duje identifikovanje neobi\u010dnih obrazaca, anomalija ili sumnjivog pona\u0161anja koje potencijalno mo\u017ee ukazivati na napad. Na taj na\u010din poma\u017eu organizacijama da se proaktivno brane od sajber prijetnji pre nego \u0161to do\u0111e do zna\u010dajne \u0161tete.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, <em>EDRSilencer<\/em> zloupotreba predstavlja zna\u010dajan rizik, jer je dizajniran da blokira mre\u017enu komunikaciju za procese povezane sa razli\u010ditim softverima za detekciju i odgovor na prijetnje<em> (EDR)<\/em>. Ove smetnje mogu sprije\u010diti softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>) da \u0161alju telemetriju ili upozorenja na svoje upravlja\u010dke konzole, \u0161to znatno ote\u017eava identifikaciju i uklanjanje zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Windows_Filtering_Platform_WFP\"><\/span><strong><em>Windows Filtering Platform<\/em> (<em>WFP<\/em>)<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Windows Filtering Platform<\/em> (<em>WFP<\/em>)je integralni okvir u okviru <em>Microsoft<\/em> <em>Windows <\/em>operativnog sistema, posebno dizajniran za kreiranje mre\u017enog filtriranja i bezbjednosnih aplikacija. Ova robusna platforma slu\u017ei kao mo\u0107an komplet alata za programere da konstrui\u0161u rje\u0161enja koja nadgledaju, blokiraju ili modifikuju mre\u017eni saobra\u0107aj na osnovu razli\u010ditih kriterijuma kao \u0161to su <em>IP<\/em> adrese, portovi, protokoli i aplikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primarna <em>WFP <\/em>funkcija le\u017ei u njegovoj sposobnosti da primjeni prilago\u0111ena pravila koja reguli\u0161u pona\u0161anje mre\u017enih komunikacija. Ova pravila se mogu prilagoditi razli\u010ditim zahtevima, omogu\u0107avaju\u0107i preciznu kontrolu nad odlaznim i dolaznim tokovima podataka. Ova fleksibilnost ga \u010dini nezamjenjivom komponentom u \u0161irokom spektru bezbjednosnih aplikacija, uklju\u010duju\u0107i za\u0161titne zidove, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a>, sisteme za spre\u010davanje upada (eng. <em>intrusion prevention systems \u2013 IPS<\/em>) i softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Me\u0111utim, bitno je napomenuti da iako <em>WFP<\/em> igra vitalnu ulogu u ja\u010danju bezbjednosti sistema, zlonamjerni akteri tako\u0111e mogu da iskoriste njegove sposobnosti u zlonamjerne svrhe. Na primjer, zlonamjerni akteri bi potencijalno mogli da koriste alatke kao \u0161to je <em>EDRSilencer<\/em> \u2014 koji koristi prednosti <em>WFP <\/em>funkcionalnosti \u2014 da blokiraju odlazni saobra\u0107aj od pokretanja procesa softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) i izbjegnu otkrivanje. Na taj na\u010din bi mogli uspjeti da prikriju svoje aktivnosti na sistemu, \u0161to \u0107e bezbjednosnim timovima u\u010diniti izazovnijim da efikasno identifikuju i uklone zlonamjerni softver.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"EDRSilencer_zloupotreba\"><\/span><strong><em>EDRSilencer <\/em>zloupotreba<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Testiranje sigurnosnih istra\u017eiva\u010da je pokazalo da kada se efikasno koristi, <em>EDRSilencer<\/em> mo\u017ee da sprije\u010di bezbjednosne alate da \u0161alju evidencije ili upozorenja, potvr\u0111uju\u0107i njegovu sposobnost da zaobi\u0111e detekciju \u010dak i u najbezbjednijem okru\u017eenjima. Blokiranjem telemetrijskih podataka i bezbjednosnih upozorenja, zlonamjerni akteri koji koriste ovu alatku mogu da sprovedu neovla\u0161tene aktivnosti kao \u0161to su primjena zlonamjernog softvera, eskalacija privilegija ili eksfiltracija podataka bez podizanja alarma. Ova sposobnost \u010dini <em>EDRSilencer<\/em> mo\u0107nim oru\u017ejem u kampanjama <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednih trajnih prijetnji<\/a> (eng. <em>Advanced persistent threat \u2013 APT<\/em>) u raznim sajber napadima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Alat podr\u017eava prekid razli\u010ditih procesa koji se odnose na vi\u0161estruke softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>) kao \u0161to su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><em>Carbon Black Cloud<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Carbon Black EDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Cisco Secure Endpoint<\/em> (ranije <em>Cisco AMP<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Cybereason<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Cylance<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Elastic EDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>ESET Inspect<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>FortiEDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Harfanglab EDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Microsoft Defender for Endpoint<\/em> i <em>Microsoft Defender Antivirus<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Palo Alto Networks Traps\/Cortex XDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Qualys EDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>SentinelOne<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Tanium<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Trellix EDR<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>TrendMicro Apex One.<\/em><\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Ugra\u0111ivanjem ovog legitimnog alata za penetracijsko testiranje u svoj arsenal, zlonamjerni akteri imaju za cilj da u\u010dine softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>) neefikasnim, \u0161to ote\u017eava identifikaciju i uklanjanje zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored ove kodirane liste od 16 softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>), <em>EDRSilencer<\/em> omogu\u0107ava zlonamjernim akterima da prilagode njegovo pona\u0161anje dodavanjem filtera za specifi\u010dne procese ili komponente softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Ovo prilago\u0111avanje osigurava da se \u010dak i djelimi\u010dno blokirani softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) mogu u potpunosti neutralisati u ciljanim napadima. Obezbje\u0111ivanjem putanja datoteka dodatnih bezbjednosnih alata, zlonamjerni akteri mogu da pro\u0161ire listu ciljeva izvan onih koji su podrazumijevano uklju\u010deni.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prilago\u0111ena pravila implementirana u okviru <em>EDRSilencer<\/em> alata omogu\u0107avaju zlonamjernim akterima da presretnu i blokiraju mre\u017eni saobra\u0107aj koji bi ina\u010de upozorio server za upravljanje softverom za detekciju i odgovor na prijetnje (<em>EDR<\/em>) o sumnjivim aktivnostima. Blokiranjem telemetrijskih podataka i bezbjednosnih upozorenja, zlonamjerni akteri mogu da sprovode neovla\u0161tene aktivnosti kao \u0161to je primjena zlonamjernog softvera, eskalacija privilegija ili eksfiltracija podataka bez podizanja alarma.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj\"><\/span><strong>Uticaj<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Pove\u0107ana dostupnost ovog alata i njegove mogu\u0107nosti \u010dine ga vrijednim sredstvom u kampanjama naprednih trajnih prijetnji (<em>APT<\/em>) zbog njegove sposobnosti da zaobi\u0111e detekciju \u010dak i u veoma bezbjednim okru\u017eenjima. Lista od 16 softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>), kao i mogu\u0107nost prilago\u0111avanja <em>EDRSilencer<\/em> alata dodavanjem filtera za specifi\u010dne procese ili komponente softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) osigurava da se djelimi\u010dno blokirana sigurnosna rje\u0161enja mogu u potpunosti neutralisati tokom ciljanih napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kao i kod svakog alata za <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a>, mogu\u0107nosti i efikasnost <em>EDRSilencer<\/em> alata \u0107e se vjerovatno vremenom razvijati. Zlonamjerni akteri mogu razviti nove tehnike ili modifikacije kako bi pobolj\u0161ali njegovu funkcionalnost, ote\u017eavaju\u0107i timovima za bezbjednost da otkriju i suprotstave se njegovoj upotrebi u napadima u stvarnom svetu. Za organizacije je od klju\u010dnog zna\u010daja da budu informisane o ovim de\u0161avanjima i da shodno tome prilagode svoje strategije sajber bezbjednosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uspon_EDR_zloupotreba\"><\/span><strong>Uspon <em>EDR<\/em> zloupotreba<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Alati za izbjegavanje softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) postaju sve dostupniji zbog niske cijene. Sigurnosni istra\u017eiva\u010di su izvijestili da se ovi alati mogu kupiti za samo 350 ameri\u010dkih dolara mjese\u010dno, \u0161to ih \u010dini pristupa\u010dnim \u010dak i za <em>ransomware<\/em> filijale i druge zlonamjerne aktere sa ni\u017eim nivoom tehni\u010dke stru\u010dnosti. Naprednije verzije se kre\u0107u od 7.500 do \u010dak 15.000 ameri\u010dkih dolara za veliki spisak mogu\u0107nosti izbjegavanja softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovo nagla\u0161ava stalni trend da zlonamjerni akteri tra\u017ee efikasnije alate za svoje napade, posebno one dizajnirane da onemogu\u0107e antivirusne softvere i softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>), pa izme\u0111u ostalog tu je pojava sljede\u0107ih zlonamjernih alatki:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2024\/07\/21\/avneutralizer-osposobljava-edr-rijesenja\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>AvNeutralizer<\/em><\/a> je sofisticirani alat koji je razvila finansijski motivisana zlonamjerna grupa <em>FIN7<\/em>. Dizajniran je da onemogu\u0107i antivirusne procese na kompromitovanim sistemima i izbjegne otkrivanje od strane softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Alat se nudi na prodaju na raznim forumima za hakovanje na ruskom jeziku od aprila 2022. godine. Cijene se kre\u0107u od 4.000 do 15.000 ameri\u010dkih dolara u zavisnosti od specifi\u010dnih karakteristika.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>EDRKillShifter<\/em> je izvr\u0161na datoteka za \u201c<em>u\u010ditavanje\u201d<\/em> koja slu\u017ei kao mehanizam za isporuku legitimnog upravlja\u010dkog softvera koji je podlo\u017ean zloupotrebama. Mo\u017ee da isporu\u010di razli\u010dite razli\u010dite <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne terete<\/a> (eng. <em>payloads<\/em>) u zavisnosti od zahteva zlonamjernog aktera.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>TrueSightKiller<\/em> je uslu\u017eni program koji koriste <em>ransomware<\/em> napada\u010di. On koristi tehniku <em>Bring Your Own Vulnerable Driver<\/em> (<em>BYOVD<\/em>) za onemogu\u0107avanje bezbjednosnog softvera na nivou jezgra sistema (eng. <em>kernel<\/em> <em>level<\/em>).<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2024\/06\/14\/ghostengine-onemogucava-edr-softver\/\"><em>GhostEngine<\/em><\/a> je napredni hakerski komplet koji koristi kripto rudarenje za generisanje profita. On primjenjuje nekoliko modula da ubije agente softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>) koriste\u0107i ranjive drajvere i instalira kripto rudare na kompromitovane sisteme. Autori zlonamjernog softvera su ugradili brojne mehanizme za nepredvi\u0111ene situacije, \u0161to ga \u010dini zna\u010dajnom prijetnjom za organizacije koje se oslanjaju na <em>Windows <\/em>operativne sisteme.<br \/>\n<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Terminator<\/em> je alatka koju je zlonamjerni akter pod nazivom <em>SpyBoy<\/em> reklamirao kao \u201c<em>EDR<\/em> ubicu\u201d. Ovaj zlonamjerni alat koristi ranjivost <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-1853\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-1853<\/em><\/a>, koja je ranjivost proizvoljnog prekida procesa identifikovana u <em>Zemana<\/em> <em>AntiLogger<\/em> <em>74.204.664<\/em>. Svrha alata je da onemogu\u0107i bezbjednosna rje\u0161enja na ciljanim sistemima kori\u0161tenjem ranjivog drajvera <em>Zemana<\/em> <em>AntiLogger<\/em>.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Digitalno okru\u017eenje se stalno razvija i zahtjeva proaktivan i prilagodljiv bezbjednosni stav, pa je potrebno voditi ra\u010duna o <em>EDRSilencer<\/em> alatu koji predstavlja zna\u010dajnu prijetnju organizacijama koje se za bezbjednost oslanjaju na softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>). Prilago\u0111avanjem ovog alata za specifi\u010dne napade i zaobila\u017eenjem mehanizama za otkrivanje \u010dak i u najbezbjednijem okru\u017eenjima, zlonamjerni akteri mogu neka\u017enjeno da obavljaju neovla\u0161tene aktivnosti. Zbog toga, organizacije moraju ostati na oprezu, koriste\u0107i napredne mehanizme i strategije za otkrivanje prijetnji kako bi se suprotstavili ovim sofisticiranim alatima i za\u0161titili svoju digitalnu imovinu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi se efikasno suprotstavile ovim prijetnjama, organizacije moraju usvojiti vi\u0161eslojnu odbranu, primijeniti segmentaciju mre\u017ee, strategije dubinske odbrane, napredne tehnike lova na prijetnje i kontinuirano pra\u0107enje kako bi bile ispred zlonamjernih aktera. Kako zlonamjerni akteri nastavljaju da inoviraju i proizvo\u0111a\u010di bezbjednosnih rije\u0161enja moraju istrajati u svojoj posve\u0107enosti na pobolj\u0161anju bezbjednosnih mjera i razmjeni uvida kako bi se za\u0161titili od budu\u0107ih napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Suo\u010deni sa evoluiraju\u0107im okru\u017eenjem prijetnji i pojavom sofisticiranih alata kao \u0161to je <em>EDRSilencer<\/em>, od klju\u010dne je va\u017enosti za organizacije da usvoje vi\u0161eslojni pristup bezbjednosti. Evo nekoliko preporuka o tome kako organizacije mogu efikasno da za\u0161titite svoje sisteme od ove mo\u0107ne alatke dizajnirane da zaobi\u0111e softver za detekciju i odgovor na prijetnje (<em>EDR<\/em>):<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Potrebno je razumijevanje prijetnje kroz upoznavanje sa <em>EDRSilencer<\/em> alatom, njegovim mogu\u0107nostima i metodama koje koristi da izbjegne otkrivanje. Ovo znanje mo\u017ee pomo\u0107i organizacijama da efikasnije identifikuju potencijalne indikatore kompromisa u svom okru\u017eenju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Preporuka je primjena jake strategije segmentacije mre\u017ee da bi se ograni\u010dilo <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> unutar infrastrukture organizacije. Kroz segmentaciju, zlonamjernim akterima koji koriste <em>EDRSilencer<\/em> bilo bi te\u017ee da pre\u0111u sa jednog sistema na drugi, a da ne budu otkriveni,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Investirati u robusne softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>) koji mogu da otkriju anomalna pona\u0161anja, obezbijede obavje\u0161tajne podatke o prijetnjama u realnom vremenu i nude mogu\u0107nosti automatskog odgovora. Redovno a\u017eurirati softvere za detekciju i odgovor na prijetnje (<em>EDR<\/em>) da bi se osiguralo da imaju najnoviju za\u0161titu od novih prijetnji kao \u0161to je <em>EDRSilencer<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati listu dozvoljenih aplikacija na kriti\u010dnim sistemima da bi se dozvolilo pokretanje samo ovla\u0161\u0107enih aplikacija. Ova mjera mo\u017ee pomo\u0107i u spre\u010davanju izvr\u0161avanja neovla\u0161tenih procesa povezanih sa razli\u010ditim softverima za detekciju i odgovor na prijetnje (<em>EDR<\/em>), \u010dime se smanjuje efikasnost alata kao \u0161to je <em>EDRSilencer,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kontinuirano pratiti mre\u017eni saobra\u0107aj u potrazi za sumnjivim aktivnostima kao \u0161to su neobi\u010dni obrasci ili komunikacija izme\u0111u poznatih zlonamjernih <em>IP<\/em> adresa\/domena i sistema organizacije. Implementirati sisteme za otkrivanje i prevenciju upada (eng. <em>intrusion detection and prevention systems \u2013 IDPS<\/em>) da bi se automatski blokirale potencijalne prijetnje na osnovu unaprijed definisanih pravila ili analize pona\u0161anja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da su softveri za detekciju i odgovor na prijetnje (<em>EDR<\/em>) a\u017eurni, pravilno konfigurisani i da se redovno skeniranju u potrazi za ranjivostima. Ova rje\u0161enja bi trebalo da budu u stanju da otkriju i sprije\u010de izvr\u0161avanje zlonamjernih datoteka povezanih sa <em>EDRSilencer<\/em> ili sli\u010dnim alatima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obu\u010diti zaposlene da prepoznaju taktike dru\u0161tvenog in\u017eenjeringa, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>poku\u0161aje i druge uobi\u010dajene metode koje zlonamjerni akteri koriste da bi dobili pristup sistemima. Manje je vjerovatno da \u0107e obrazovani korisnici nasjedati na ove trikove, smanjuju\u0107i rizik od po\u010detnog kompromisa koji bi mogao da dovede do primjene <em>EDRSilencer<\/em> alata u okru\u017eenju organizacije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potreban je dobro definisan <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a> da bi se brzo identifikovalo i odgovorilo na potencijalne prijetnje kao \u0161to je <em>EDRSilencer<\/em>. Ovaj plan treba da sadr\u017ei korake za obuzdavanje, iskorjenjivanje, oporavak i analizu nakon incidenta kako bi se smanjio uticaj napada na organizaciju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno provjeravati sisteme u potrazi za ranjivostima i pogre\u0161nim konfiguracijama koje bi mogao da iskoristi <em>EDRSilencer<\/em> ili drugi alati dizajnirani da izbjegnu otkrivanje. Odmah rije\u0161iti sve identifikovane probleme kako bi se smanjio rizik od uspje\u0161nog kompromitovanja sistema,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sara\u0111ivati sa drugim organizacijama, industrijskim grupama i platformama za obavje\u0161tavanje o prijetnjama kako bi se dijelile informacije o novim prijetnjama kao \u0161to je <em>EDRSilencer<\/em>. Ova saradnja mo\u017ee pomo\u0107i da se ostane informisan o novim indikatorima kompromisa, taktikama, tehnikama i procedurama koje koriste zlonamjerni akteri, tako da organizacija mo\u017ee prilagoditi svoju odbranu u skladu sa tim,<\/span><\/li>\n<\/ol>\n<p><span style=\"font-size: 14pt;\">Primjenom ovih preporuka, organizacije mogu zna\u010dajno da pobolj\u0161aju svoju sposobnost da efikasno otkriju, reaguju i ubla\u017ee prijetnje kao \u0161to je <em>EDRSilencer<\/em>, obezbe\u0111uju\u0107i bezbjednije digitalno okru\u017eenje i za podatke i za korisnike.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>EDRSilencer je softver otvorenog k\u00f4da, inspirisan MDSec NightHawk FireBlock alatom, koji ometa softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response \u2013 EDR) blokiranjem mre\u017ene komunikacije za povezane procese koriste\u0107i Windows&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7322,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2267,2272,2266,2268,2270,2271,2269,2273],"class_list":["post-7319","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-advanced-persistent-threats-apt","tag-edr-bypass-detection","tag-edrsilencer","tag-network-traffic-interception","tag-security-alert-suppressions","tag-security-tool-neutralization","tag-telemetry-data-blocking","tag-windows-filtering-platform-wfp"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7319"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7319\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7322"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}