紅隊演練工具EDRSilence遭濫用202410

資安攻防演練常用的滲透測試及紅隊演練工具,如 Cobalt Strike 和 Brute Ratel C4 等,已被駭客廣泛濫用進行網路攻擊,駭客今年開始利用名為 EDRSilencer 的紅隊演練工具進行攻擊,該工具運用了 Windows 作業系統內建的 Windows 篩選平臺(WFP),宣稱可干擾 16 種常見的端點偵測與回應(EDR)系統,攻擊者可建立 WFP 過濾器,封鎖 EDR 系統的 IPv4 和 IPv6 的對外流量,這使得 EDR 用戶端無法將遙測資料和警報訊息傳送至 EDR 主機,從而阻止異常通報。

Symantec可攔阻特徵類型

     檔案防護特徵 可攔阻版本
Trojan Horse

Heur.AdvML.C

病毒防護特徵碼:2024/10/23 rev.8

Trend Micro可攔阻特徵類型

       檔案防護特徵 可攔阻版本
HackTool.Win64.EDRSilencer.REDT 19.669.00

IoCs資訊

721af117726af1385c08cc6f49a801f3cf3f057d9fd26fcec2749455567888e7

受EDRSilencer工具影響的EDR 系統

lMicrosoft Defender for Endpoint and Microsoft Defender Antivirus

Elastic EDR

Trellix EDR

Qualys EDR

SentinelOne

Cylance

Cybereason

Carbon Black EDR

Carbon Black Cloud

Tanium

Palo Alto Networks Traps/Cortex XDR

FortiEDR

Cisco Secure Endpoint (Formerly Cisco AMP)

ESET Inspect

Harfanglab EDR

TrendMicro Apex One

銳傑科技建議

針對此一攻擊手法,建議參考以下注意事項:

  1. 確認伺服器及端點電腦確實安裝端點防護系統並保持定義檔持續更新。
  2. 確保電腦應用程式及作業系統完成安全性更新至最新版本。
  3. 定期進行重要主機備份,並以三二一原則(至少備份 3 份、使用 2 種不同的備份方式、其中 1 份放在異地)妥善保存重要檔案。
  4. 開啟端點防護自我防護功能並設定為攔截。
  5. 設定端點防護移除及停用密碼。
  6. 禁止用戶端設定例外政策。
  7. 確認各系統安全事件日誌是否有可疑活動紀錄。
  8. 清查企業Microsoft 網域中的 Domain Admin 群組是否存在異常的帳號或不應存在的帳號。
  9. 請強化網域管理員權限帳號的安全管控機制,如:限制網域管理員權限帳號登入來源、網域管理員權限帳號不允許非上班時間使用等。
  10. 監控企業DC 伺服器的重要資料夾,如:netlogon 共享資料夾及 GPO 群組政策 Script 資料夾的檔案異動情況。
  11. 強化伺服器主機(Windows、Linux 系統)安全防護機制,評估伺服器主機安裝並啟用防護應用程式及裝置控管功能。
  12. 透過 VPN、RDP 連線至內部環境時,需導入兩階段驗證,且具備身份識別控管。

參考網站

紅隊演練工具EDRSilence遭濫用,16種EDR系統可能因此被「噤聲」

Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions