L’outil EDRSilencer utilisé par les pirates pour bloquer les communications des EDR !

EDRSilencer, un outil utilisé par les équipes Red Team, a été également utilisé dans le cadre de cyberattaques pour bloquer les communications des solutions EDR et tenter de dissimuler les actions malveillantes.

D'après Trend Micro, les cybercriminels s'appuient sur EDRSilencer dans leurs attaques pour tenter d'échapper aux systèmes de détection, en l'occurrence ici, les EDR. "Notre télémétrie interne a montré que les cybercriminels tentaient d'intégrer EDRSilencer dans leurs attaques, en le réaffectant comme moyen d'échapper à la détection", peut-on lire dans un rapport publié par Trend Micro.

Cet outil a pour objectif d'empêcher l'EDR de communiquer avec la console de gestion, et ainsi éviter la remontée d'informations. Pour cela, l'outil EDRSilencer, inspiré de l'outil NightHawk FireBlock de MDSec, est conçu pour bloquer le trafic sortant associé aux processus de l'EDR, grâce à des règles positionnées dans la plate-forme de filtrage Windows (WFP). Il est capable de bloquer les flux en IPv4 et IPv6.

Grâce à ces interférences, il va être plus difficile à détecter, car l'EDR ne peut plus envoyer d'alertes ou d'informations de télémétrie : "Cet outil démontre une technique qui peut être utilisée par des adversaires pour échapper à la détection : En bloquant le trafic EDR, les logiciels malveillants peuvent potentiellement rester cachés sur un système, ce qui les rend plus difficiles à identifier et à supprimer.", précisent les chercheurs de Trend Micro.

Voici la chaine d'attaque d'EDRSilencer :

Quels sont les EDR ciblés par EDRSilencer ?

Si vous utilisez un EDR, vous devez certainement vous demander si votre solution est « vulnérable » à cet outil offensif. Voici la liste des solutions EDR ciblées par l'outil EDRSilencer d'après le rapport de Trend Micro :

• Carbon Black Cloud
• Carbon Black EDR
• Cisco Secure Endpoint (Formerly Cisco AMP)
• Cybereason
• Cylance
• Elastic EDR
• ESET Inspect
• FortiEDR
• Harfanglab EDR
• Microsoft Defender for Endpoint
• Microsoft Defender Antivirus
• Palo Alto Networks Traps/Cortex XDR
• Qualys EDR
• SentinelOne
• Tanium
• Trellix EDR
• TrendMicro Apex One

EDRSilencer s'appuie sur une liste d'exécutables codée en dur, afin qu'il soit capable d'agir sur les bons processus en fonction de l'EDR détecté sur la machine. Dans certains cas, l'EDR continue d'émettre des alertes malgré les actions effectuées par EDRSilencer, car la liste des exécutables n'est pas à jour.

Mais, il intègre une fonction pour créer des filtres personnalisés que les chercheurs ont pu utiliser : "Après avoir identifié et bloqué des processus supplémentaires ne figurant pas dans la liste codée en dur, les outils EDR n'ont pas envoyé de journaux, ce qui confirme l'efficacité de l'outil.", peut-on lire.

Le rapport liste également des recommandations pour se protéger, parmi lesquelles :

• La défense en profondeur grâce à l'utilisation de plusieurs systèmes de contrôle et détection (firewalls, IDS, IPS, EDR, etc.).
• L'application du principe du moindre privilège pour les utilisateurs et les applications.
• L'isolation réseau des systèmes critiques et des données sensibles pour limiter les mouvements latéraux.
• La création d'une liste blanche d'applications, pour que seules les applications approuvées puissent être exécutées.

Au-delà des outils capables de cibler les EDR, il y a aussi des malwares qui ont cette capacité, nous pouvons citer le malware PoorTry, par exemple.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio