FASTCash Malware: Στοχεύει συστήματα Linux χρηματοπιστωτικών ιδρυμάτων
22 Οκτωβρίου, 2024Anonymous Sudan: Κατηγορούνται για DDoS επιθέσεις
24 Οκτωβρίου, 2024Οι απειλητικοί παράγοντες επιχειρούν να εκμεταλλευτούν το ανοιχτού κώδικα εργαλείο EDRSilencer για να παρακάμψουν λύσεις ανίχνευσης και απόκρισης τελικών σημείων (EDR) και να αποκρύψουν κακόβουλες δραστηριότητες.
Το EDRSilencer, εμπνευσμένο από το εργαλείο NightHawk FireBlock της MDSec, έχει σχεδιαστεί για να αποκλείει την εξερχόμενη κίνηση των διεργασιών EDR χρησιμοποιώντας την πλατφόρμα φιλτραρίσματος Windows (WFP).
Το εργαλείο υποστηρίζει τον τερματισμό διαφόρων διαδικασιών που σχετίζονται με EDR προϊόντα από εταιρείες όπως η Microsoft, η Elastic, η Trellix, η Qualys, η SentinelOne, και άλλες. Με την ενσωμάτωση τέτοιων νόμιμων εργαλείων σε επιθέσεις, οι hackers στοχεύουν στην αχρήστευση του λογισμικού EDR, καθιστώντας δυσκολότερη την αναγνώριση και αφαίρεση κακόβουλου λογισμικού.
Η πλατφόρμα WFP είναι ένα ισχυρό εργαλείο ενσωματωμένο στα Windows, το οποίο επιτρέπει τη δημιουργία κανόνων δικτύου για την παρακολούθηση, τον αποκλεισμό ή την τροποποίηση της δικτυακής κίνησης. Εφαρμογές firewalls και antivirus χρησιμοποιούν το WFP για την προστασία συστημάτων και δικτύων. Το EDRSilencer εκμεταλλεύεται το WFP εντοπίζοντας δυναμικά τις διεργασίες EDR και δημιουργώντας φίλτρα για να εμποδίζει την εξερχόμενη κίνησή τους, αποτρέποντας έτσι την αποστολή τηλεμετρίας στους διαχειριστικούς τους πίνακες.
Η εξέλιξη αυτή εντάσσεται σε μια γενικότερη τάση όπου ομάδες ransomware χρησιμοποιούν ισχυρά εργαλεία εξουδετέρωσης EDR, όπως το AuKill και το EDRKillShifter. Αυτά τα προγράμματα εκμεταλλεύονται ευάλωτους drivers για να αυξήσουν τα δικαιώματα τους και να τερματίσουν διαδικασίες ασφαλείας. Το EDRKillShifter, για παράδειγμα, διασφαλίζει την επιμονή του συστήματος και προσαρμόζεται στις εξελισσόμενες δυνατότητες ανίχνευσης.
Αυτές οι επιθέσεις επιτρέπουν στο κακόβουλο λογισμικό να παραμένει αόρατο, αυξάνοντας τις πιθανότητες επιτυχίας τους χωρίς ανίχνευση ή παρεμβολή.