EDRSilencer: Herramienta de Red Team Que Desafía la Seguridad de los Endpoints

Los cibercriminales aprovechan EDRSilencer para evadir las soluciones de seguridad en los endpoints, complicando la detección de actividades maliciosas.

Un equipo de caza de amenazas ha descubierto que cibercriminales están abusando de EDRSilencer, una herramienta diseñada originalmente para los Red Teams, con el objetivo de bloquear el tráfico de las soluciones EDR (detección y respuesta en endpoints).

EDRSilencer: De herramienta de Red Team a arma para los cibercriminales

EDRSilencer es una herramienta diseñada para simular ciberataques y ayudar a los equipos de seguridad a identificar vulnerabilidades en los sistemas de una organización. Sin embargo, como ocurre con muchas herramientas de Red Team, los cibercriminales han encontrado la manera de reutilizarla para sus propios fines. La herramienta, que utiliza la Plataforma de Filtrado de Windows (WFP, por sus siglas en inglés), está siendo empleada para bloquear la comunicación de las soluciones EDR con sus consolas de gestión, lo que impide que se envíen alertas sobre actividades maliciosas.

El poder detrás de la Plataforma de Filtrado de Windows (WFP)

La WFP permite crear reglas personalizadas para bloquear o modificar el tráfico de red. EDRSilencer aprovecha esta funcionalidad para identificar procesos de EDR en ejecución y crear filtros que bloquean su comunicación de salida. Esto impide que las alertas lleguen a las consolas de seguridad, dejando a las organizaciones vulnerables ante ataques que pueden pasar desapercibidos durante largos periodos de tiempo.

Lista de EDRs afectadas

EDRSilencer ha sido probado contra varias soluciones de seguridad de renombre, entre las que se incluyen:

  • Microsoft Defender para Endpoint (MsMpEng.exe, SenseIR.exe)
  • Palo Alto Networks Traps (Traps.exe, CyveraService.exe)
  • SentinelOne (SentinelAgent.exe, LogProcessorService.exe)
  • Trend Micro Apex One (TmListen.exe, Ntrtscan.exe)

La herramienta es capaz de bloquear la comunicación de estos y otros procesos asociados a soluciones EDR, dificultando la detección de malware.

Amenazas emergentes y recomendaciones de seguridad

El uso de herramientas como EDRSilencer representa una amenaza creciente para la seguridad de los endpoints. Los cibercriminales buscan constantemente nuevas formas de evadir las medidas de protección, y el éxito de EDRSilencer en bloquear la comunicación de procesos críticos de EDR es una señal de que las organizaciones deben reforzar sus defensas.

Entre las recomendaciones para mitigar estos riesgos se incluyen:

  • Seguridad multicapa: Implementar múltiples niveles de seguridad, incluyendo firewalls, IDS y soluciones de análisis de comportamiento.
  • Segmentación de red: Aislar los sistemas críticos para evitar el movimiento lateral de los atacantes.
  • Análisis de comportamiento: Utilizar soluciones que detecten comportamientos anómalos en los endpoints.
  • Caza de amenazas: Monitorear continuamente la red para identificar signos de compromiso.
Conclusión

EDRSilencer marca un cambio en las tácticas de los cibercriminales, quienes ahora pueden utilizar herramientas de red team para desactivar soluciones de seguridad avanzadas. Ante este escenario, es crucial que las organizaciones adopten una postura proactiva y fortalezcan sus estrategias de detección y respuesta ante amenazas. La vigilancia continua y la implementación de soluciones de seguridad integradas pueden ser la clave para mitigar los riesgos de estas herramientas avanzadas.

re con la comunicación de los procesos EDR, dificultando la detección y eliminación de malware.

Related Posts
Clear Filters

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

La empresa multinacional de telecomunicaciones Telefónica ha confirmado que su sistema interno de gestión de tickets fue vulnerado, lo que…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.