Parece casi imposible que alguien pueda desactivar una solución de seguridad avanzada diseñada para detectar amenazas, ¿verdad? Pues EDRSilencer lo está logrando, y con bastante facilidad. Esta herramienta, que originalmente fue creada para que los equipos de seguridad (red teams) pusieran a prueba las defensas de las empresas, ha caído en manos de ciberdelincuentes que la están usando para infiltrarse en sistemas sin levantar sospechas. Investigadores de Trend Micro han señalado que los atacantes están intentando incorporar EDRSilencer en sus ataques para pasar desapercibidos y evitar ser detectados.
“Silenciar” productos EDR
Las soluciones de seguridad EDR (Detección y Respuesta de Endpoints) son esenciales hoy en día para proteger dispositivos contra ataques cibernéticos. Estas herramientas se encargan de monitorear todo lo que ocurre en un equipo, utilizando análisis avanzados e inteligencia en tiempo real para detectar tanto amenazas conocidas como nuevas. Y no solo eso, también responden automáticamente a los ataques y envían informes detallados a los equipos de seguridad con información sobre el origen, el impacto y la propagación de la amenaza.
Ahora, aquí es donde entra EDRSilencer. Esta herramienta, basada en una herramienta de prueba de penetración llamada MdSec NightHawk FireBlock, tiene la capacidad de detectar qué productos EDR están funcionando en un sistema y usar la Plataforma de Filtrado de Windows (WFP) para intervenir. ¿Cómo lo hace? Básicamente, EDRSilencer puede monitorear, bloquear o incluso modificar el tráfico de red, lo que le permite interrumpir el flujo de información entre el EDR y su servidor de administración.
El WFP se usa normalmente en firewalls, antivirus y otras soluciones de seguridad, ya que permite crear filtros persistentes que controlan el tráfico. Con reglas personalizadas, un atacante podría cortar la comunicación entre la herramienta EDR y su servidor, lo que significa que no se enviarían alertas ni informes detallados sobre las actividades sospechosas.
En su versión más reciente, EDRSilencer es capaz de detectar y bloquear 16 de las herramientas EDR más modernas, como:
- Microsoft Defender
- SentinelOne
- FortiEDR
- Palo Alto Networks Traps/Cortex XDR
- Cisco Secure Endpoint (antes conocido como AMP)
- ElasticEDR
- Carbon Black EDR
- TrendMicro Apex One
Bloqueo del tráfico de ejecutables codificados
En las pruebas con EDRSilencer, se descubrió que algunas herramientas EDR todavía podían enviar informes porque no todos sus ejecutables estaban en la lista codificada de la herramienta. Sin embargo, EDRSilencer permite a los atacantes agregar filtros personalizados especificando las rutas de los archivos, lo que significa que pueden ampliar la lista y bloquear más procesos de seguridad.
"Después de identificar y bloquear esos procesos adicionales que no estaban en la lista inicial, las herramientas EDR dejaron de enviar registros, lo que confirma la eficacia de EDRSilencer", dice Trend Micro en su informe.
Los investigadores advierten que esto permite que el malware y otras actividades maliciosas pasen completamente desapercibidas, lo que aumenta la probabilidad de ataques exitosos sin ser detectados ni detenidos.
Te podrá interesar leer: Pruebas EDR SE Labs: Acronis Cyber Protect Recibe Calificación AAA
Conclusión
En resumen, EDRSilencer es una amenaza preocupante que permite a los atacantes desactivar herramientas de seguridad EDR y operar sin ser detectados. Ante la creciente sofisticación de estos ataques, confiar únicamente en soluciones tradicionales ya no es suficiente para proteger los sistemas empresariales de manera efectiva.
Para combatir este tipo de amenazas avanzadas, contar con un SOC as a Service (Centro de Operaciones de Seguridad como Servicio) es una opción clave. Un SOC externo ofrece monitoreo constante, análisis de amenazas en tiempo real y respuesta rápida ante incidentes, lo que ayuda a reforzar la seguridad y mejorar la detección de actividades sospechosas antes de que causen daños graves.
