L’outil EDRSilencer utilisé par les pirates pour bloquer les communications des EDR !
EDRSilencer, un outil utilisé par les équipes Red Team, a été également utilisé dans le cadre de cyberattaques pour bloquer les communications des solutions EDR et tenter de dissimuler les actions malveillantes.
D'après Trend Micro, les cybercriminels s'appuient sur EDRSilencer dans leurs attaques pour tenter d'échapper aux systèmes de détection, en l'occurrence ici, les EDR. "Notre télémétrie interne a montré que les cybercriminels tentaient d'intégrer EDRSilencer dans leurs attaques, en le réaffectant comme moyen d'échapper à la détection", peut-on lire dans un rapport publié par Trend Micro.
Cet outil a pour objectif d'empêcher l'EDR de communiquer avec la console de gestion, et ainsi éviter la remontée d'informations. Pour cela, l'outil EDRSilencer, inspiré de l'outil NightHawk FireBlock de MDSec, est conçu pour bloquer le trafic sortant associé aux processus de l'EDR, grâce à des règles positionnées dans la plate-forme de filtrage Windows (WFP). Il est capable de bloquer les flux en IPv4 et IPv6.
Grâce à ces interférences, il va être plus difficile à détecter, car l'EDR ne peut plus envoyer d'alertes ou d'informations de télémétrie : "Cet outil démontre une technique qui peut être utilisée par des adversaires pour échapper à la détection : En bloquant le trafic EDR, les logiciels malveillants peuvent potentiellement rester cachés sur un système, ce qui les rend plus difficiles à identifier et à supprimer.", précisent les chercheurs de Trend Micro.
Voici la chaine d'attaque d'EDRSilencer :
Quels sont les EDR ciblés par EDRSilencer ?
Si vous utilisez un EDR, vous devez certainement vous demander si votre solution est « vulnérable » à cet outil offensif. Voici la liste des solutions EDR ciblées par l'outil EDRSilencer d'après le rapport de Trend Micro :
- Carbon Black Cloud
- Carbon Black EDR
- Cisco Secure Endpoint (Formerly Cisco AMP)
- Cybereason
- Cylance
- Elastic EDR
- ESET Inspect
- FortiEDR
- Harfanglab EDR
- Microsoft Defender for Endpoint
- Microsoft Defender Antivirus
- Palo Alto Networks Traps/Cortex XDR
- Qualys EDR
- SentinelOne
- Tanium
- Trellix EDR
- TrendMicro Apex One
EDRSilencer s'appuie sur une liste d'exécutables codée en dur, afin qu'il soit capable d'agir sur les bons processus en fonction de l'EDR détecté sur la machine. Dans certains cas, l'EDR continue d'émettre des alertes malgré les actions effectuées par EDRSilencer, car la liste des exécutables n'est pas à jour.
Mais, il intègre une fonction pour créer des filtres personnalisés que les chercheurs ont pu utiliser : "Après avoir identifié et bloqué des processus supplémentaires ne figurant pas dans la liste codée en dur, les outils EDR n'ont pas envoyé de journaux, ce qui confirme l'efficacité de l'outil.", peut-on lire.
Le rapport liste également des recommandations pour se protéger, parmi lesquelles :
- La défense en profondeur grâce à l'utilisation de plusieurs systèmes de contrôle et détection (firewalls, IDS, IPS, EDR, etc.).
- L'application du principe du moindre privilège pour les utilisateurs et les applications.
- L'isolation réseau des systèmes critiques et des données sensibles pour limiter les mouvements latéraux.
- La création d'une liste blanche d'applications, pour que seules les applications approuvées puissent être exécutées.
Au-delà des outils capables de cibler les EDR, il y a aussi des malwares qui ont cette capacité, nous pouvons citer le malware PoorTry, par exemple.
J’ai l’impression que cet article est destiné à des petites entreprises qui ne savent pas protéger leur machines, car si cet outil s’exécute déjà sur une machine, c’est déjà trop tard, ou sont les proxy de sécurité, le scan de fichier joint par mail, le scan antivirus, le scan edr, la limitation des privilèges des utilisateurs. Cet outil marche sur un pc de tests avec un utilisateurs admin mais ne marchera jamais dans une vrai entreprise avec un service informatique qui se respecte, d’ailleurs un edr concerne que les grosses entreprises….