Preloader

Adresse

2310 North Henderson Ave., Dallas, TX 75206

Telefonnummer

+1 (214) 646-3262

Email Addressе

sales@cy-napea.com

Blog Details

EDRSilencer: Ein neues Tool, das EDR-Sicherheitslösungen ins Visier nimmt

EDRSilencer: Ein neues Tool, das EDR-Sicherheitslösungen ins Visier nimmt

Ein neues Open-Source-Tool namens EDRSilencer hat sich als erhebliche Bedrohung in der Cybersicherheitslandschaft herausgestellt. Es zielt darauf ab, Sicherheitstools zu erkennen und deren Alarme an Management-Konsolen zu unterdrücken. Dieser alarmierende Trend hat die Aufmerksamkeit von Sicherheitsforschern auf sich gezogen, die beobachten, wie Angreifer EDRSilencer in ihre Angriffe integrieren, um einer Erkennung zu entgehen.

Forscher von Trend Micro, einem führenden Unternehmen im Bereich Cybersicherheit, haben mehrere Versuche von Bedrohungsakteuren identifiziert, EDRSilencer in ihre Angriffe einzubinden. Laut Trend Micro ist diese Entwicklung eine besorgniserregende Weiterentwicklung der Taktiken von Cyberangreifern.

“Unsere interne Telemetrie zeigte, dass Bedrohungsakteure versuchten, EDRSilencer in ihre Angriffe zu integrieren und es als Mittel zur Umgehung der Erkennung zu nutzen,” sagte Trend Micro.

Was ist EDRSilencer und wie funktioniert es?

Endpoint Detection and Response (EDR)-Tools sind unverzichtbare Sicherheitslösungen, die Geräte vor Cyberbedrohungen schützen. Sie nutzen fortschrittliche Analysen und ständig aktualisierte Informationen, um bekannte und neue Bedrohungen zu erkennen. EDRs reagieren nicht nur automatisch auf diese Bedrohungen, sondern erstellen auch detaillierte Berichte, die Verteidigern wichtige Informationen über den Ursprung, die Auswirkungen und die Ausbreitung der Bedrohung liefern.

EDRSilencer, ein Open-Source-Tool, zielt direkt auf diese wichtigen Sicherheitsmaßnahmen ab. Es ist inspiriert von MdSec NightHawk FireBlock, einem proprietären Penetrationstest-Tool, und wurde entwickelt, um aktive EDR-Prozesse zu erkennen. Anschließend nutzt es die Windows Filtering Platform (WFP), um Netzwerkverkehr über IPv4- und IPv6-Protokolle zu überwachen, zu blockieren oder zu manipulieren.

WFP ist ein Kernelement, das in vielen Sicherheitslösungen wie Firewalls und Antivirensoftware verwendet wird. Es bietet eine Möglichkeit, Filterregeln festzulegen, die den Netzwerkverkehr auf einem Gerät steuern. Durch die Ausnutzung dieser Funktion kann EDRSilencer den Datenaustausch zwischen EDR-Software und ihrer Management-Konsole manipulieren, Alarme effektiv unterdrücken und den Telemetriefluss unterbrechen.

EDRSilencer-Fig10

Angriff auf führende EDR-Tools

In seiner neuesten Version kann EDRSilencer Alarme von 16 weit verbreiteten EDR-Lösungen erkennen und unterdrücken, darunter:

  • Microsoft Defender
  • SentinelOne
  • FortiEDR
  • Palo Alto Networks Traps/Cortex XDR
  • Cisco Secure Endpoint (ehemals AMP)
  • ElasticEDR
  • Carbon Black EDR
  • TrendMicro Apex One

Die Forschung von Trend Micro zeigt, dass einige EDR-Tools trotz der Fähigkeiten von EDRSilencer möglicherweise weiterhin mit ihren Management-Konsolen kommunizieren können, da nicht alle ihre Prozesse in der Standard-Blockierliste des Tools enthalten sind. EDRSilencer bietet jedoch die Flexibilität, benutzerdefinierte Filter hinzuzufügen, indem Dateipfade angegeben werden, sodass Angreifer die Reichweite des Tools erweitern können.

“Nach der Identifizierung und Blockierung zusätzlicher Prozesse, die nicht in der Hardcoded-Liste enthalten waren, konnten die EDR-Tools keine Protokolle mehr senden, was die Effektivität des Tools bestätigte,” erklärt Trend Micro.

Diese Fähigkeit stellt ein erhebliches Risiko dar, da sie es bösartigen Aktivitäten ermöglicht, unentdeckt zu bleiben, wodurch es Angreifern erleichtert wird, erfolgreiche Angriffe ohne Warnung durchzuführen.

Gegenmaßnahmen und Empfehlungen von Trend Micro

Als Reaktion auf diese zunehmende Bedrohung hat Trend Micro Lösungen entwickelt, um EDRSilencer als Malware zu identifizieren und somit Versuche zu verhindern, Sicherheitsmaßnahmen zu deaktivieren. Das Unternehmen betont jedoch, dass die Risikominderung solcher Tools eine robuste und umfassende Sicherheitsstrategie erfordert.

blocks1.webp

Hier sind einige wichtige Empfehlungen von Trend Micro, um EDRSilencer und ähnliche Bedrohungen zu bekämpfen:

  1. Multi-Layered-Sicherheitskontrollen einsetzen: Verwenden Sie eine Kombination verschiedener Sicherheitsmaßnahmen, um kritische Systeme zu schützen und Redundanz zu schaffen, die es Angreifern erschwert, Abwehrmaßnahmen zu umgehen.

  2. Verhaltensanalyse und Anomalie-Erkennung implementieren: Setzen Sie auf Sicherheitstechnologien, die ungewöhnliche Verhaltensmuster überwachen, anstatt nur bekannte Bedrohungsindikatoren zu verwenden.

  3. Indikatoren für Kompromittierung (IoCs) überwachen: Scannen Sie regelmäßig das Netzwerk nach Anzeichen möglicher Bedrohungen, einschließlich unerwarteter Änderungen der EDR-Leistung oder -Konnektivität.

  4. Prinzip der minimalen Rechte anwenden: Stellen Sie sicher, dass Systeme und Benutzer nur die Berechtigungen haben, die sie benötigen, um das potenzielle Risiko bei einem Verstoß zu minimieren.

Die Zukunft der EDR-Sicherheit

Die Entwicklung und Nutzung von Tools wie EDRSilencer signalisiert eine Veränderung im Bereich der Cyberbedrohungen, bei der Angreifer zunehmend darauf abzielen, Abwehrmechanismen zu deaktivieren, bevor sie komplexere Angriffe starten. Indem sie direkt EDR-Lösungen ins Visier nehmen, versuchen sie, die Erkennungsphase zu eliminieren und sich mehr Zeit für böswillige Aktivitäten zu verschaffen.

Cybersicherheitsexperten betonen, dass der Kampf zwischen Angreifern und Verteidigern ständig im Wandel ist, und Unternehmen wachsam bleiben müssen. Der Einsatz von Open-Source-Tools, die oft aus legitimen Penetrationstests stammen, verdeutlicht die doppelschneidige Natur der Cybersicherheitstechnologie. Wie EDRSilencer zeigt, kann ein ursprünglich für ethische Hacker entwickeltes Tool schnell zu einer Waffe in den Händen von Gegnern werden.

Eine proaktive Verteidigungshaltung und die Investition in fortschrittliche Bedrohungserkennungssysteme sind entscheidende Schritte, um sicherzustellen, dass Sicherheitsteams einen Schritt voraus bleiben. Organisationen müssen außerdem über die neuesten Informationen zu sich entwickelnden Cyberbedrohungen auf dem Laufenden bleiben, um in einer sich ständig verändernden feindlichen Landschaft widerstandsfähig zu bleiben.

 

Hier den Originalbeitrag lesen.
 

Tags:
Share:
Cy-Napea® Team
Author

Cy-Napea® Team

Abonnieren Sie unseren Newsletter

Seien Sie einer der Ersten, der von den neuesten Cyber-Bedrohungen erfährt

shape
https://www.facebook.com/cynapea
https://www.linkedin.com/company/cy-napea
Ihr Erlebnis auf dieser Website wird durch die Zulassung von Cookies verbessert. Erfahren Sie mehr

These cookies are essential for the website to function properly.

These cookies help us understand how visitors interact with the website.

These cookies are used to deliver personalized advertisements.