可绕过安全防护！EDR Silencer红队工具遭黑客利用

近日 ，可绕客利研究人员在恶意事件中观察到一种名为 EDRSilencer 的过安工具红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的全防警报变更为静音状态。

网络安全公司 Trend Micro 的护E红队研究人员说，攻击者正试图在攻击中整合 EDRSilencer，遭黑以逃避检测。可绕客利

被“静音”的过安工具EDR 产品

端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。亿华云

它们使用先进的全防分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应 ，护E红队同时向防御者发送有关威胁来源
、遭黑影响和传播的可绕客利详细报告。

EDRSilencer 是过安工具受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具
，建站模板可检测运行中的全防 EDR 进程
，并使用 Windows 过滤平台（WFP）监控、护E红队阻止或修改 IPv4 和 IPv6 通信协议的遭黑网络流量。

WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性
。

通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，云计算从而阻止警报和详细遥测报告的发送。

在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括：

微软卫士SentinelOneFortiEDRPalo Alto Networks Traps/Cortex XDR思科安全端点（前 AMP）ElasticEDRCarbon Black EDR趋势科技 Apex One

阻止硬编码可执行文件的传播，来源 ：趋势科技

趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的服务器租用一个或多个可执行文件未列入红队工具的硬编码列表  。

不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具 。

趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性 。

研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的模板下载情况下成功攻击的可能性。

EDRSilencer 攻击链，来源：趋势科技

趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。

此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的香港云服务器安全解决方案，在网络上寻找入侵迹象 ，并应用最小特权原则 。