สรุปข้อมูล
พบแฮกเกอร์ใช้เครื่องมือแบบ Open-Source ที่ชื่อว่า EDRSilencer ในการแทรกแซงการทำงานของ Endpoint Detection and Response (EDR) เพื่อซ่อนกิจกรรมที่เป็นอันตราย โดยเครื่อง EDRSilencer ออกแบบมาเพื่อบล็อคการสื่อสารผ่านเครือข่ายของกระบวนการที่เกี่ยวข้องกับ EDR ที่กำลังทำงานโดยใช้ Windows Filtering Platform (WFP) ซึ่งทำให้ EDR ไม่สามารถส่งข้อมูลตรวจจับหรือแจ้งเตือนกลับไปยัง Consoles ได้ จึงทำให้ยากต่อการระบุและลบมัลแวร์ โดยเครื่องมือนี้รองรับการปิดการทำงานของ Process ที่เกี่ยวข้องกับ EDR หลายแบรนด์ เช่น Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, และ Trend Micro เป็นต้น
รายชื่อไฟล์ปฏิบัติการที่เกี่ยวข้องกับ EDR ยี่ห้อต่าง ๆ ที่เครื่องมือ EDRSilencer สามารถปิดการทำงานได้
รายละเอียดการโจมตี
รูปที่ 1: แสดงตัวอย่างการโจมตีของ EDRsilencer
รูปที่ 2: แสดงการบล็อก Process โดยใช้ Full Path ของไฟล์ .EXE (binary) ของ EDR หรือ Antivirus
ผลกระทบจากการโจมตี
ผลกระทบจากการโจมตีด้วยเครื่องมือ EDRSilencer ทำให้ระบบรักษาความปลอดภัยขององค์กรอ่อนแอลง เนื่องจาก EDR และ Antivirus ไม่สามารถส่งข้อมูลการตรวจจับและแจ้งเตือนกลับไปยัง Console จัดการได้ สิ่งนี้ทำให้ผู้โจมตีดำเนินกิจกรรมที่เป็น อันตราย เช่น การโจมตีด้วยแรนซัมแวร์ สามารถดำเนินการได้โดยไม่ถูกตรวจจับ
สรุปการโจมตี
เครื่องมือ EDRSilencer ถูกใช้เพื่อหลีกเลี่ยงการตรวจจับจากระบบ EDR และ Antivirus โดยเครื่องมือดังกล่าวสามารถบล็อก Traffic ที่เชื่อมต่อกับ EDR Process ทำให้ EDR ไม่สามารถส่งข้อมูลการตรวจจับและแจ้งเตือนกลับไปยัง Console ได้ ส่งผลให้แฮกเกอร์ที่ดำเนินกิจกรรมที่เป็นอันตรายสามารถดำเนินการได้โดยไม่ถูกตรวจพบ
คำแนะนำ
Indicators of Compromise (IoCs)
เครื่องมือ EDRSilencer | |
SHA-256 | 721af117726af1385c08cc6f49a801f3cf3f057d9fd26fcec2749455567888e7 |
แหล่งอ้างอิง
https://thehackernews.com/2024/10/hackers-abuse-edrsilencer-tool-to.html