防守方用來進行滲透測試及紅隊演練的工具,被駭客拿來從事網路攻擊的現象,可說是越來越氾濫,其中最常見的是Cobalt Strike,利用Brute Ratel C4(BRC4)也有不少,但今年出現駭客採用其他工具的情況。
根據資安業者趨勢科技的監控,有人利用名為EDRSilencer的紅隊演練工具從事攻擊行動,此工具利用視窗作業系統內建的Windows篩選平臺(Windows Filtering Platform,WFP),號稱能干擾市面上16款常見的端點偵測與回應(EDR)系統運作。
研究人員指出,這款能夠直接從網路下載的紅隊演練工具,藉由阻斷EDR流量,進而迴避偵測,攻擊者得以讓惡意軟體隱匿於受害電腦不易察覺。
究竟該紅隊演練工具如何運作?主要是藉由動態識別的方式,找出正在執行的EDR處理程序,接著,攻擊者建立WFP過濾器,以此封鎖EDR系統的IPv4、IPv6對外流量,使得端點代理程式無法對主控臺傳送遙測資料及警示訊息。
為了驗證EDRSilencer是否真的能影響EDR系統運作,研究人員藉由另一款工具EDRNoiseMaker進行驗證,他們對於自家的Vision One進行測試,結果代理程式的流量都被封鎖,後來執行勒索軟體的時候,主控臺並未出現對應的事件記錄資料,並顯示受害裝置處於未活動的狀態。
不過,駭客究竟如何將其用於實際攻擊行動?研究人員僅透露,他們透過遙測的資料發現,部分駭客試圖將這項紅隊演練工具作為重要的攻擊配備,這代表接下來很可能會出現相關活動。值得留意的是,駭客利用這項工具的情況可能已有先例,資安業者Acronis揭露鎖定臺灣無人機製造商的攻擊行動Operation WordDrone裡,駭客當時壓制防毒軟體及EDR系統,並濫用Windows內建的防火牆封鎖流量,研究人員推測就是利用這項紅隊演練工具達到目的。
熱門新聞
2024-12-22
2024-12-20
2024-12-22