Хакеры отключают защиту: как EDRSilencer подрывает безопасность

Киберпреступники снова удивляют мир своими навыками! Новое открытие специалистов Trend Micro шокировало всех — хакеры используют инструмент EDRSilencer для отключения систем защиты от вредоносных программ. Этот хитроумный подход позволяет злоумышленникам скрывать свои действия и обходить традиционные меры безопасности.

EDRSilencer — это инструмент с открытым исходным кодом, который стал эдаким «мастером маскировки». Созданный по образу и подобию коммерческого решения NightHawk FireBlock, он использует платформу Windows Filtering Platform (WFP), чтобы блокировать сетевой трафик и отключать связь с EDR-системами. Таким образом, хакеры могут скрывать свои следы, а устройства выглядят как будто отключены.

При тестировании было установлено, что EDRSilencer может эффективно отключать целый ряд популярных EDR-решений — от Microsoft Defender до Palo Alto Networks. В результате злоумышленники могут беспрепятственно воровать данные и осуществлять атаки без риска быть пойманными. Даже если EDR-система и продолжает пытаться работать, злоумышленники способны манипулировать ее функциями, добавляя нужные процессы в список блокируемых.

Но не думайте, что все так просто. Trend Micro советует классифицировать EDRSilencer как вредоносное ПО и принимать меры по его блокировке на самых ранних этапах. Также эксперты призывают к внедрению многоуровневой защиты и использованию поведенческого анализа, чтобы выявлять потенциальные угрозы на ранней стадии.