EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
トレンドマイクロ社はレッドチーム用ツールである「EDRSilencer(イーディーアールサイレンサー)」がEDRなどのエンドポイントセキュリティを回避する為に悪用されている事を指摘しました。
EDRとは
EDRとはEndpoint Detection and Responseの略で、ユーザーが利用するサーバやパソコン、モバイル端末のマルウェア防御とマルウェア感染検知、ログ分析を行う情報セキュリティのITソリューションです。
EDRSilencer は、オープン ソースのレッドチームツールで、実行中の EDR プロセスを検出し、Windows Filtering Platform (WFP) を使用して IPv4 および IPv6 通信プロトコル上のネットワーク トラフィックを監視、ブロック、または変更します。
WFP は、ネットワーク フィルタリングおよびセキュリティ アプリケーションを作成するために Windows に組み込まれた強力なフレームワークで、開発者が IP アドレス、ポート、プロトコル、アプリケーションなどのさまざまな基準に基づいてネットワーク トラフィックを監視、ブロック、または変更するためのカスタム ルールを定義するための API を提供します。
EDRSilencerでEDRをブロックする WFP フィルターを作成
WFP は通常、ファイアウォール、ウイルス対策、その他のセキュリティ ソリューションなどのセキュリティ製品で使用され、プラットフォームに設定されたフィルターは永続的です。
カスタム ルールを設定すると、実行中の EDR プロセスを動的に識別し、それらの送信通信をブロックする WFP フィルターを作成する事ができ、トレンドマイクロのテスト中に、ハードコードされたリストに含まれていないプロセスの通信もブロックすることが判明し、その有効性がさらに実証されました。
EDR ツールを検出してブロック
実際にトレンドマイクロの検証では以下メーカーのEDR製品をブロックできました。
EDR Product | Process |
Carbon Black Cloud | RepMgr.exe, RepUtils.exe, RepUx.exe, RepWAV.exe, RepWSC.exe |
Carbon Black EDR | cb.exe |
Cisco Secure Endpoint (Formerly Cisco AMP) | sfc.exe |
Cybereason | AmSvc.exe, CrAmTray.exe, CrsSvc.exe, ExecutionPreventionSvc.exe, CybereasonAV.exe |
Cylance | CylanceSvc.exe |
Elastic EDR | winlogbeat.exe, elastic-agent.exe, elastic-endpoint.exe, filebeat.exe |
ESET Inspect | EIConnector.exe, ekrn.exe |
FortiEDR | fortiedr.exe |
Harfanglab EDR | hurukai.exe |
Microsoft Defender for Endpoint and Microsoft Defender Antivirus | MsMpEng.exe, MsSense.exe, SenseIR.exe, SenseNdr.exe, SenseCncProxy.exe, SenseSampleUploader.exe |
Palo Alto Networks Traps/Cortex XDR | Traps.exe, cyserver.exe, CyveraService.exe, CyvrFsFlt.exe |
Qualys EDR | QualysAgent.exe |
SentinelOne | SentinelAgent.exe, SentinelAgentWorker.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, LogProcessorService.exe, SentinelStaticEngineScanner.exe, SentinelHelperService.exe, SentinelBrowserNativeHost.exe |
Tanium | TaniumClient.exe, TaniumCX.exe, TaniumDetectEngine.exe |
Trellix EDR | xagt.exe |
TrendMicro Apex One | CETASvc.exe, WSCommunicator.exe, EndpointBasecamp.exe, TmListen.exe, Ntrtscan.exe, TmWSCSvc.exe, PccNTMon.exe, TMBMSRV.exe, CNTAoSMgr.exe, TmCCSF.exe |
EDRSilencer を使用したテストでは、影響を受ける EDR ツールの一部は、実行可能ファイルの 1 つ以上がEDRSilencer のハードコードされたリストに含まれていないため、引き続きレポートを送信できる可能性があることが示されました。
ただしハードコードされたリストに含まれていない追加のプロセスを特定してブロックした後、EDR ツールはログを送信できず、EDRSilencer の有効性が確認されました。これにより、マルウェアやその他の悪意のあるアクティビティが検出されず、検出や介入なしで攻撃が成功する可能性が高まります。
トレンドマイクロの研究者は提案として、以下を推奨しています。
・多層セキュリティ制御の実装
・動作分析と異常検出を提供するセキュリティ ソリューションの使用
・ネットワーク上の侵害の兆候の検出
・最小権限の原則の適用
参照
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions