紅隊演練工具EDRSilencer傳出遭濫用，駭客可藉此阻斷EDR連外而無法通報異常

防守方用來進行滲透測試及紅隊演練的工具，被駭客拿來從事網路攻擊的現象，可說是越來越氾濫，其中最常見的是Cobalt Strike，利用Brute Ratel C4（BRC4）也有不少，但今年出現駭客採用其他工具的情況。

根據資安業者趨勢科技的監控，有人利用名為EDRSilencer的紅隊演練工具從事攻擊行動，此工具利用視窗作業系統內建的Windows篩選平臺（Windows Filtering Platform，WFP），號稱能干擾市面上16款常見的端點偵測與回應（EDR）系統運作。

研究人員指出，這款能夠直接從網路下載的紅隊演練工具，藉由阻斷EDR流量，進而迴避偵測，攻擊者得以讓惡意軟體隱匿於受害電腦不易察覺。

究竟該紅隊演練工具如何運作？主要是藉由動態識別的方式，找出正在執行的EDR處理程序，接著，攻擊者建立WFP過濾器，以此封鎖EDR系統的IPv4、IPv6對外流量，使得端點代理程式無法對主控臺傳送遙測資料及警示訊息。

為了驗證EDRSilencer是否真的能影響EDR系統運作，研究人員藉由另一款工具EDRNoiseMaker進行驗證，他們對於自家的Vision One進行測試，結果代理程式的流量都被封鎖，後來執行勒索軟體的時候，主控臺並未出現對應的事件記錄資料，並顯示受害裝置處於未活動的狀態。

不過，駭客究竟如何將其用於實際攻擊行動？研究人員僅透露，他們透過遙測的資料發現，部分駭客試圖將這項紅隊演練工具作為重要的攻擊配備，這代表接下來很可能會出現相關活動。值得留意的是，駭客利用這項工具的情況可能已有先例，資安業者Acronis揭露鎖定臺灣無人機製造商的攻擊行動Operation WordDrone裡，駭客當時壓制防毒軟體及EDR系統，並濫用Windows內建的防火牆封鎖流量，研究人員推測就是利用這項紅隊演練工具達到目的。