08/11/2024

Actu Cybersécurité

L’outil EDRSilencer utilisé par les pirates pour bloquer les communications des EDR !

EDRSilencer, un outil utilisé par les équipes Red Team, a été également utilisé dans le cadre de cyberattaques pour bloquer les communications des solutions EDR et tenter de dissimuler les actions malveillantes.

D'après Trend Micro, les cybercriminels s'appuient sur EDRSilencer dans leurs attaques pour tenter d'échapper aux systèmes de détection, en l'occurrence ici, les EDR. "Notre télémétrie interne a montré que les cybercriminels tentaient d'intégrer EDRSilencer dans leurs attaques, en le réaffectant comme moyen d'échapper à la détection", peut-on lire dans un rapport publié par Trend Micro.

Cet outil a pour objectif d'empêcher l'EDR de communiquer avec la console de gestion, et ainsi éviter la remontée d'informations. Pour cela, l'outil EDRSilencer, inspiré de l'outil NightHawk FireBlock de MDSec, est conçu pour bloquer le trafic sortant associé aux processus de l'EDR, grâce à des règles positionnées dans la plate-forme de filtrage Windows (WFP). Il est capable de bloquer les flux en IPv4 et IPv6.

Grâce à ces interférences, il va être plus difficile à détecter, car l'EDR ne peut plus envoyer d'alertes ou d'informations de télémétrie : "Cet outil démontre une technique qui peut être utilisée par des adversaires pour échapper à la détection : En bloquant le trafic EDR, les logiciels malveillants peuvent potentiellement rester cachés sur un système, ce qui les rend plus difficiles à identifier et à supprimer.", précisent les chercheurs de Trend Micro.

Voici la chaine d'attaque d'EDRSilencer :

Source : Trend Micro

Quels sont les EDR ciblés par EDRSilencer ?

Si vous utilisez un EDR, vous devez certainement vous demander si votre solution est « vulnérable » à cet outil offensif. Voici la liste des solutions EDR ciblées par l'outil EDRSilencer d'après le rapport de Trend Micro :

  • Carbon Black Cloud
  • Carbon Black EDR
  • Cisco Secure Endpoint (Formerly Cisco AMP)
  • Cybereason
  • Cylance
  • Elastic EDR
  • ESET Inspect
  • FortiEDR
  • Harfanglab EDR
  • Microsoft Defender for Endpoint
  • Microsoft Defender Antivirus
  • Palo Alto Networks Traps/Cortex XDR
  • Qualys EDR
  • SentinelOne
  • Tanium
  • Trellix EDR
  • TrendMicro Apex One

EDRSilencer s'appuie sur une liste d'exécutables codée en dur, afin qu'il soit capable d'agir sur les bons processus en fonction de l'EDR détecté sur la machine. Dans certains cas, l'EDR continue d'émettre des alertes malgré les actions effectuées par EDRSilencer, car la liste des exécutables n'est pas à jour.

Mais, il intègre une fonction pour créer des filtres personnalisés que les chercheurs ont pu utiliser : "Après avoir identifié et bloqué des processus supplémentaires ne figurant pas dans la liste codée en dur, les outils EDR n'ont pas envoyé de journaux, ce qui confirme l'efficacité de l'outil.", peut-on lire.

Le rapport liste également des recommandations pour se protéger, parmi lesquelles :

  • La défense en profondeur grâce à l'utilisation de plusieurs systèmes de contrôle et détection (firewalls, IDS, IPS, EDR, etc.).
  • L'application du principe du moindre privilège pour les utilisateurs et les applications.
  • L'isolation réseau des systèmes critiques et des données sensibles pour limiter les mouvements latéraux.
  • La création d'une liste blanche d'applications, pour que seules les applications approuvées puissent être exécutées.

Au-delà des outils capables de cibler les EDR, il y a aussi des malwares qui ont cette capacité, nous pouvons citer le malware PoorTry, par exemple.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “L’outil EDRSilencer utilisé par les pirates pour bloquer les communications des EDR !

  • J’ai l’impression que cet article est destiné à des petites entreprises qui ne savent pas protéger leur machines, car si cet outil s’exécute déjà sur une machine, c’est déjà trop tard, ou sont les proxy de sécurité, le scan de fichier joint par mail, le scan antivirus, le scan edr, la limitation des privilèges des utilisateurs. Cet outil marche sur un pc de tests avec un utilisateurs admin mais ne marchera jamais dans une vrai entreprise avec un service informatique qui se respecte, d’ailleurs un edr concerne que les grosses entreprises….

    Répondre
    • Bonjour,
      Je suis RSI dans une PME et nous avons EPP + EDR
      Ceci n’empêche pas que les user n’ont pas de droit admin ,le scan de mails et de PC par l’EPP est actif ainsi que la navigation Web filtrée
      Alors non, les EDR ne sont pas réservés aux grandes entrprises
      A ce jour, la question n’est pas de savoir comment, mais quand serons-nous attaqués ?

      Répondre
  • Et comme d’habitude pas une seule fois l’acronyme n’est expliqué. Putain de golmons de la tech.

    Répondre
    • Effectivement, ils pourrainet le preciser.
      EDR : Endpoint Détection and Response

      Répondre
    • Bonjour,
      Un poil agressif ce dialoque.
      Les personnes de « la tech » savent aussi repondre aux questions, qu’il suffit de poser.
      Très cordialement,

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.