文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

可绕过安全防护!EDR Silencer红队工具遭黑客利用

2024-11-29 17:40

关注

网络安全公司 Trend Micro 的研究人员说,攻击者正试图在攻击中整合 EDRSilencer,以逃避检测。

被“静音”的EDR 产品

端点检测和响应(EDR)工具是监控和保护设备免受网络威胁的安全解决方案。

它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁,并自动做出响应,同时向防御者发送有关威胁来源、影响和传播的详细报告。

EDRSilencer 是受 MdSec NightHawk FireBlock(一种专有的笔试工具)启发而开发的开源工具,可检测运行中的 EDR 进程,并使用 Windows 过滤平台(WFP)监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。

WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中,平台中设置的过滤器具有持久性。

通过自定义规则,攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换,从而阻止警报和详细遥测报告的发送。

在最新版本中,EDRSilencer 可检测并阻止 16 种现代 EDR 工具,包括:

阻止硬编码可执行文件的传播,来源:趋势科技

趋势科技对 EDRSilencer 的测试表明,一些受影响的 EDR 工具可能仍能发送报告,原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。

不过,EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器,因此可以扩展目标进程列表以涵盖各种安全工具。

趋势科技在报告中解释说:在识别并阻止未列入硬编码列表的其他进程后,EDR 工具未能发送日志,这证实了该工具的有效性。

研究人员说:这使得恶意软件或其他恶意活动仍未被发现,增加了在未被发现或干预的情况下成功攻击的可能性。

EDRSilencer 攻击链,来源:趋势科技

趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测,在攻击者禁用安全工具之前阻止它。

此外,研究人员建议实施多层次的安全控制,以隔离关键系统并创建冗余,使用提供行为分析和异常检测的安全解决方案,在网络上寻找入侵迹象,并应用最小特权原则。

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯