EDRSilencerはレッドチーム向けのツールです。
Windows環境向けに作成されたツールで、GitHubで公開されています。
このツールが脅威アクターに悪用され始めていることが確認されています。
ツールの動作を見てみましょう。
- プロセス検出フェーズ
EDRSilencerは、まずは対象のプロセスを検出する動作を行います。
対象のプロセスは、EDRです。
EDRSilencerはシステムをスキャンして、一般的なEDR製品に関連付けられている実行中のプロセスのリストを作成します。 - 実行フェーズ
次の段階として、EDRSilencerは引数を受け取って実行されます。
引数には2つの種類があります。
1つはblockedr引数です。これはEDRの種類を指定するものです。
そしてもう1つはblock <path>引数です。これはpathで指定したソフトウェアから起動されたプロセスを指定する動作となります。 - 特権昇格フェーズ
ツールは特権を必要とする動作に移行します。
起動時に指定された引数情報をもとに、Windows Filtering Platform (WFP) APIを使用して実行中のEDRプロセスの送信トラフィックをブロックします。
Windows Filtering PlatformはWindowsファイアウォールの設定を変更できる開発環境です。
EDRSilencerはWFP APIを使用して、EDRの通信を破棄するルールをシステムに設定します。
WFPで作成するルールは永続化のマークがされていますので、このルールが設定された後そのOSを再起動したとしてもルールの動作は継続します。
このEDRSilencerが、脅威アクターの目に留まってしまいました。
脅威アクターの活動を邪魔するEDRを停止させようとするという活動はこれまで多くのマルウェアで見られたものです。
このEDRによる防御への対応の方法に、方向性の異なる作戦を与えてしまったような格好になっています。
EDRを停止させるのではなく、EDRの送信する通信を破棄してしまえば、そのEDRで脅威活動を検出されてもEDRのコンソールで状況を把握することはできない状態にできます。
脅威アクターの動作の変更は現在も継続的に行われています。
防御側の活動も継続的な改善が必要ということに思えます。
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions
https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
