Что такое EDR?
EDR (Endpoint Detection & Response) - это класс решений, направленных на обнаружение и изучение вредоносной активности на конечных точках, таких как рабочие станции и серверы. Эти решения отличаются от антивирусов тем, что они сосредоточены на выявлении целевых атак и сложных угроз.
Кто такой EDRSilencer?
EDRSilencer - программа с открытым исходным кодом, созданная с целью блокировки исходящего трафика работающих процессов EDR (агента) с использованием API Windows Filtering Platform (WFP). Злоумышленнику достаточно знать название процесса, необходимого EDR, или же иметь целый список таких процессов, чтобы собрать зловредный инструмент. Программа поддерживает работу с различными EDR-системами, такими как Microsoft Defender for Endpoint, ESET и другими.
Оригинальный репозиторий тут (https://github.com/netero1010/EDRSilencer).
Что умеет EDRSilencer?
Инструмент может выполнять следующие действия:
1. Поиск известных работающих процессов EDR и добавление фильтра WFP для блокировки их исходящего трафика
2. Добавление фильтра WFP для конкретного процесса
3. Удаление всех фильтров WFP, созданных с помощью EDRSilencer
4. Удаление конкретного фильтра WFP по идентификатору фильтра
Чем опасен?
Злоумышленник может использовать данный инструмент для предотвращения обнаружения [TA0005 (https://attack.mitre.org/tactics/TA0005/)], воспользовавшись техникой изменения реестра [T1112 (https://attack.mitre.org/techniques/T1112/)], тем самым ослабив защиту [T1562 (https://attack.mitre.org/techniques/T1562/)], что позволит проводить различные атаки на систему не боясь быть обнаруженным.
Меры противодействия
Защитить свою систему помогут продукты компании "ИнфоТеКС" ViPNet EndPoint Protection или VipNet IDS HS.
В базах решающих правил AM Rules ПМ от 30 Июля доступны способы защиты для описанного инструмента: правило для обнаружения исполняемого файла и правила для обнаружения постэксплуатации.