趋势科技研究人员注意到,威胁行为者正在利用开源 EDRSilencer 工具躲避端点检测和响应系统。关于 EDRSilencer该软件用于红队,被滥用于 “压制 ”EDR 解决方案。它的工作原理是利用 Windows 过滤平台(WFP),该平台允许创建自定义规则来监控、阻止和修改网络流量。研究人员解释说:“代码利用 WFP(Windows 过滤平台),动态识别正在运行的 EDR 进程,并创建 WFP 过滤器来阻止它们在互联网协议 IPv4 和 IPv6 上的出站网络通信,从而有效阻止 EDR 向其管理控制台发送遥测或警报。” EDRSilencer 目前可以检测多种 EDR 产品的进程: Carbon Black EDR、Cybereason、ESET Inspect、SentinelOne、Trellix EDR、Microsoft Defender for Endpoint 和 Microsoft Defender Antivirus、Tanium、TrendMicro Apex One 等。趋势科技的研究人员还发现,当某些进程没有被硬编码到工具的列表中时,可以通过附加规则来阻止它们。EDR 规避工具的兴起FIN7 从 2023 年初开始向多个勒索软件组织出售 AvNeutralizer(又名 AuKill)。该工具使用 Windows 的 TTD 监控驱动程序和(Sysinternals)进程资源管理器驱动程序来 “挂起 ”或崩溃受保护的 EDR 进程。RansomHub RaaS 一直在使用 EDRKillShifter,各种 RaaS 行为者一直在利用 PoorTry(又名 BurntCigar),这是一种针对安全产品的驱动程序,用于终止安全产品。Qilin 勒索软件攻击者一直在利用 “Killer Ultra”,它使用易受攻击的 Zemana 驱动程序来终止 EDR 和防病毒进程。各种工具采用的机制可能不同,但效果是一样的:端点安全解决方案无法正常运行。“EDR规避工具通常以订购服务的形式出售,起价低至每月350美元或单次绕过300美元。”ExtraHop的研究人员分享说:“低廉的价格使得这些工具非常容易被勒索软件关联公司和其他威胁行为者获取,包括那些技术水平较低的人。”在高端产品方面,ExtraHop注意到最近有几款产品,威胁者将其EDR绕过产品的价格定在7500美元,而将EDR规避功能打包到加密锁中的产品价格则高达10000美元。趋势科技的研究人员建议,企业应该采用先进的检测机制和威胁猎杀策略来对抗 EDR 杀毒工具。Intel471 的研究人员最近介绍了如何猎杀 EDRKillshifter,ConnectWise Cyber Research 也分享了保护组织免受基于 BYOVD 的工具攻击的建议。
