Se sabe que los piratas informáticos utilizan software legítimo en sus ataques, siempre que es posible. Bueno, ahora podemos agregar EDRSilencer a esa lista.
A principios de esta semana, investigadores de ciberseguridad de Trend Micro publicaron un nuevo informe en el que afirmaban haber observado la implementación de EDRSilencer en ciberataques. Dicen que esta herramienta fue diseñada principalmente para Pruebas de penetraciónpara que lo utilicen los equipos rojos mientras simulan ciberataques de la vida real y prueban sus redes contra piratas informáticos.
Abreviatura de EndpointDetection and Response Silencer, la herramienta está diseñada para interferir o deshabilitar soluciones EDR que tienen como objetivo monitorear y detectar actividades sospechosas en Puntos finalescomo computadoras o dispositivos dentro de la red. Al neutralizar las defensas de EDR, los atacantes pueden llevar a cabo sus actividades maliciosas, como robar datos o explotar el sistema, sin ser detectados.
Un cambio importante en las tácticas
Con la ayuda de EDRSilencer, los estafadores pudieron hacer que las herramientas EDR fueran ineficaces y evitar que enviaran telemetría, alertas u otros datos a sus controles administrativos, afirmó Trend Micro. “La aparición de EDRSilencer como medio para evadir los sistemas de respuesta y detección de puntos finales representa un cambio significativo en las tácticas utilizadas por los actores de amenazas”, concluyeron los investigadores.
de acuerdo a pitidocomputadoraEDRSilencer es una herramienta de código abierto inspirada en MdSec NightHawk FireBlock. Esta es una herramienta especial de prueba de penetración que detecta procesos EDR en ejecución y utiliza el filtrado de Windows (WFP) para monitorear, bloquear o modificar el tráfico de red en el protocolo de comunicación IPv4 e IPv6.
EDRSilencer es capaz de detectar y bloquear 16 herramientas EDR, incluidas microsoft Defender, FortiEDR, SentinelOne y muchos más.
Esta no es la primera vez que se utilizan herramientas legítimas de pentesting con fines nefastos. Quizás el mejor ejemplo de esta práctica sea el Cobalt Strike, la herramienta que ahora se considera más comúnmente malwareaunque su diseño original se considera benigno.
a través de pitidocomputadora