क्रिप्टोकरेंसी समाचार: हैकर्स EDRSilencer टूल का दुरुपयोग कर रहे हैं
खतरे के कारकों का प्रयास है कि वे एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) समाधानों को भ्रमित करने और दुष्ट गतिविधि को छुपाने के लिए ओपन-सोर्स EDRSilencer टूल का दुरुपयोग कर रहे हैं।
Trend Micro ने कहा कि उसने “खतरे के कारकों को खोजा जिन्होंने अपने हमलों में EDRSilencer को एकीकृत करने का प्रयास किया, इसे डिटेक्शन से बचने का एक माध्यम बनाने के रूप में उपयोग करते हुए।”
EDRSilencer, MDSec के NightHawk FireBlock टूल से प्रेरित, सापेक्षिक तौर पर Windows Filtering Platform (WFP) का उपयोग करके चल रहे EDR प्रक्रियाओं के आउटबाउंड ट्रैफिक को ब्लॉक करने के लिए डिज़ाइन किया गया है।
यह Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, और Trend Micro से संबंधित विभिन्न प्रक्रियाओं को समाप्त करने का समर्थन करता है।
हैकर्स EDRSilencer टूल का दुरुपयोग
EDRSilencer WFP का लाभ उठाता है दौरानिक रूप से चल रहे EDR प्रक्रियाओं की पहचान करता है और उनके आउटबाउंड नेटवर्क संचार को IPv4 और IPv6 दोनों पर ब्लॉक करने के लिए स्थायी WFP फिल्टर बनाता है, जिससे सुरक्षा सॉफ़्टवेयर को उनके प्रबंधन संदूर पर टेलीमीट्री भेजने से रोका जा सकता है।
हमला मूल रूप से उस सिस्टम को स्कैन करके काम करता है जिसमें सामान्य EDR उत्पादों से संबंधित चल रही प्रक्रियाओं की सूची जमा करने के बाद EDRSilencer को “ब्लॉकेडर” तर्क के साथ चलाया जाता है (जैसे EDRSilencer.exe blockedr) जिससे WFP फिल्टर कॉन्फ़िगर करके उन प्रक्रियाओं से आउटबाउंड ट्रैफिक को बाधित किया जाता है।
“यह यह संकेत देता है कि खतरे के कारक अपने हमलों के लिए अधिक प्रभावी उपकरण खोज रहे हैं, खासकर उन उपकरणों को जो एंटीवायरस और EDR समाधानों को अक्षम करने के लिए डिज़ाइन किए गए होते हैं,” अनुसंधानकर्ताओं ने कहा।