EDRSilencerがエンドポイントセキュリティを回避する手段に悪用

EDRSilencerがエンドポイントセキュリティを回避する手段に悪用

トレンドマイクロ社はレッドチーム用ツールである「EDRSilencer(イーディーアールサイレンサー)」がEDRなどのエンドポイントセキュリティを回避する為に悪用されている事を指摘しました。

EDRとは

EDRとはEndpoint Detection and Responseの略で、ユーザーが利用するサーバやパソコン、モバイル端末のマルウェア防御とマルウェア感染検知、ログ分析を行う情報セキュリティのITソリューションです。

EDRSilencer は、オープン ソースのレッドチームツールで、実行中の EDR プロセスを検出し、Windows Filtering Platform (WFP) を使用して IPv4 および IPv6 通信プロトコル上のネットワーク トラフィックを監視、ブロック、または変更します。

WFP は、ネットワーク フィルタリングおよびセキュリティ アプリケーションを作成するために Windows に組み込まれた強力なフレームワークで、開発者が IP アドレス、ポート、プロトコル、アプリケーションなどのさまざまな基準に基づいてネットワーク トラフィックを監視、ブロック、または変更するためのカスタム ルールを定義するための API を提供します。

EDRSilencerでEDRをブロックする WFP フィルターを作成

WFP は通常、ファイアウォール、ウイルス対策、その他のセキュリティ ソリューションなどのセキュリティ製品で使用され、プラットフォームに設定されたフィルターは永続的です。

カスタム ルールを設定すると、実行中の EDR プロセスを動的に識別し、それらの送信通信をブロックする WFP フィルターを作成する事ができ、トレンドマイクロのテスト中に、ハードコードされたリストに含まれていないプロセスの通信もブロックすることが判明し、その有効性がさらに実証されました。

EDR ツールを検出してブロック

実際にトレンドマイクロの検証では以下メーカーのEDR製品をブロックできました。

EDR Product Process
Carbon Black Cloud RepMgr.exe, RepUtils.exe, RepUx.exe, RepWAV.exe, RepWSC.exe
Carbon Black EDR cb.exe
Cisco Secure Endpoint (Formerly Cisco AMP) sfc.exe
Cybereason AmSvc.exe, CrAmTray.exe, CrsSvc.exe, ExecutionPreventionSvc.exe, CybereasonAV.exe
Cylance CylanceSvc.exe
Elastic EDR winlogbeat.exe, elastic-agent.exe, elastic-endpoint.exe, filebeat.exe
ESET Inspect EIConnector.exe, ekrn.exe
FortiEDR fortiedr.exe
Harfanglab EDR hurukai.exe
Microsoft Defender for Endpoint and Microsoft Defender Antivirus MsMpEng.exe, MsSense.exe, SenseIR.exe, SenseNdr.exe, SenseCncProxy.exe, SenseSampleUploader.exe
Palo Alto Networks Traps/Cortex XDR Traps.exe, cyserver.exe, CyveraService.exe, CyvrFsFlt.exe
Qualys EDR QualysAgent.exe
SentinelOne SentinelAgent.exe, SentinelAgentWorker.exe, SentinelServiceHost.exe, SentinelStaticEngine.exe, LogProcessorService.exe, SentinelStaticEngineScanner.exe, SentinelHelperService.exe, SentinelBrowserNativeHost.exe
Tanium TaniumClient.exe, TaniumCX.exe, TaniumDetectEngine.exe
Trellix EDR xagt.exe
TrendMicro Apex One CETASvc.exe, WSCommunicator.exe, EndpointBasecamp.exe, TmListen.exe, Ntrtscan.exe, TmWSCSvc.exe, PccNTMon.exe, TMBMSRV.exe, CNTAoSMgr.exe, TmCCSF.exe

 

EDRSilencer を使用したテストでは、影響を受ける EDR ツールの一部は、実行可能ファイルの 1 つ以上がEDRSilencer のハードコードされたリストに含まれていないため、引き続きレポートを送信できる可能性があることが示されました。

ただしハードコードされたリストに含まれていない追加のプロセスを特定してブロックした後、EDR ツールはログを送信できず、EDRSilencer の有効性が確認されました。これにより、マルウェアやその他の悪意のあるアクティビティが検出されず、検出や介入なしで攻撃が成功する可能性が高まります。

トレンドマイクロの研究者は提案として、以下を推奨しています。

・多層セキュリティ制御の実装

・動作分析と異常検出を提供するセキュリティ ソリューションの使用

・ネットワーク上の侵害の兆候の検出

・最小権限の原則の適用

 

参照

Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions

TOPへ