Gli hacker stanno abusando di uno strumento open-source chiamato EDRSilencer per aggirare le soluzioni di rilevamento e risposta degli endpoint (EDR) e nascondere attività malevole. Secondo Trend Micro, i malintenzionati stanno integrando EDRSilencer nei loro attacchi, usandolo come mezzo per evadere il rilevamento. Ispirato al tool NightHawk FireBlock di MDSec, EDRSilencer è progettato per bloccare il traffico in uscita dei processi EDR utilizzando la Windows Filtering Platform (WFP). Questo strumento supporta la terminazione di vari processi legati a prodotti EDR di Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab e Trend Micro.

L'obiettivo dei malintenzionati è rendere inefficaci i software EDR e complicare l'identificazione e la rimozione dei malware. La WFP è una piattaforma potente integrata in Windows per creare applicazioni di filtro e sicurezza di rete, fornendo API per definire regole personalizzate per monitorare, bloccare o modificare il traffico di rete. EDRSilencer sfrutta la WFP per identificare dinamicamente i processi EDR in esecuzione e creare filtri WFP persistenti per bloccare le loro comunicazioni di rete in uscita su IPv4 e IPv6, impedendo così ai software di sicurezza di inviare telemetria alle loro console di gestione. L'attacco funziona essenzialmente scansionando il sistema per raccogliere un elenco di processi in esecuzione associati a comuni prodotti EDR, seguito dall'esecuzione di EDRSilencer con l'argomento "blockedr" per inibire il traffico in uscita da quei processi tramite la configurazione dei filtri WFP.

Questo permette al malware o ad altre attività malevole di rimanere non rilevate, aumentando il potenziale per attacchi di successo senza rilevamento o intervento. Questo evidenzia la tendenza in corso degli attori delle minacce a cercare strumenti più efficaci per i loro attacchi, soprattutto quelli progettati per disabilitare soluzioni antivirus ed EDR. Lo sviluppo arriva mentre l'uso da parte dei gruppi ransomware di strumenti potenti per uccidere EDR come AuKill, EDRKillShifter, TrueSightKiller, GhostDriver e Terminator è in aumento, con questi programmi che armano driver vulnerabili per aumentare i privilegi e terminare processi legati alla sicurezza.

EDRKillShifter migliora i meccanismi di persistenza impiegando tecniche che garantiscono la sua presenza continua nel sistema, anche dopo che i compromessi iniziali sono scoperti e puliti. Disgrega dinamicamente i processi di sicurezza in tempo reale e adatta i suoi metodi man mano che le capacità di rilevamento evolvono, rimanendo un passo avanti rispetto agli strumenti EDR tradizionali.