Hackers estão abusando da ferramenta de código aberto EDRSilencer em ataques que visam manipular soluções de detecção e resposta de endpoints (EDR), ocultando atividades maliciosas. A Trend Micro relatou que detectou “atores maliciosos tentando integrar o EDRSilencer em seus ataques, reutilizando-o como um meio de evitar a detecção”. O EDRSilencer foi projetado para bloquear o tráfego de saída de processos EDR em execução usando a Plataforma de Filtragem do Windows (WFP). Ele é capaz de interromper diversos processos relacionados a produtos EDR de empresas como Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab e Trend Micro.

A incorporação de ferramentas legítimas de red teaming (testes de segurança) ao arsenal de hackers tem como objetivo tornar os softwares de EDR ineficazes, dificultando a identificação e a remoção de malware. Segundo os pesquisadores da Trend Micro, a WFP é uma estrutura poderosa integrada ao Windows, usada para criar aplicativos de segurança e filtragem de rede. Essa plataforma permite que os desenvolvedores definam regras personalizadas para monitorar, bloquear ou modificar o tráfego de rede com base em critérios como endereços IP, portas e aplicativos.

O uso de ferramentas potentes que desabilitam EDR está em ascensão entre grupos de ransomware. Esses programas aproveitam drivers vulneráveis para escalar privilégios e encerrar processos relacionados à segurança, tornando-se uma ameaça crescente para a integridade das soluções de proteção.