Les solutions de sécurité des entreprises sont de plus en plus perfectionnées, notamment grâce aux technologies de détection et réponse sur les endpoints (EDR). Mais récemment, un outil appelé EDRSilencer a refait surface, conçu initialement pour les tests de sécurité offensifs (Red Team). Malheureusement, cet outil est désormais utilisé par des cybercriminels pour contourner les mesures de protection des EDR dans des attaques réelles.

Qu’est-ce qu’EDRSilencer ?

EDRSilencer est un outil destiné aux professionnels de la cybersécurité qui réalisent des tests d’intrusion pour évaluer les vulnérabilités des infrastructures IT. Cependant, comme c’est souvent le cas avec des outils utilisés par les équipes de sécurité, des acteurs malveillants l’ont détourné de son usage initial pour le déployer dans des cyberattaques. Ce qui rend EDRSilencer particulièrement inquiétant, c’est sa capacité à désactiver ou contourner les solutions de sécurité sur les terminaux (comme les ordinateurs) de l’entreprise.

(EDRSilencer attack chain. Sources: Trend Micro)

En pratique, EDRSilencer intercepte les processus de communication entre un logiciel EDR et ses consoles de gestion. L’outil exploite des vulnérabilités dans la Windows Filtering Platform (WFP), une fonctionnalité native de Windows qui gère le trafic réseau et les communications des applications. Cela permet aux attaquants de bloquer les alertes générées par les EDR avant qu’elles ne soient envoyées aux équipes de sécurité, rendant leurs actions invisibles pendant un temps crucial.

Un danger pour plusieurs solutions EDR

Selon les chercheurs en cybersécurité de Trend Micro, EDRSilencer a été utilisé pour compromettre plusieurs des solutions de sécurité les plus répandues. Parmi celles-ci, on retrouve Microsoft Defender, FortiEDR de Fortinet, et Cortex XDR de Palo Alto Networks. En désactivant les processus d’alerte de ces outils, les attaquants peuvent se déplacer latéralement dans les réseaux d’entreprise sans déclencher d’alarme.

(Blocage du trafic d’exécutables codés en dur. Source : Trend Micro)

En outre, l’outil est hautement personnalisable. Les cybercriminels peuvent définir des filtres spécifiques dans EDRSilencer pour cibler certains processus ou services qu’ils souhaitent masquer, ce qui leur donne un contrôle fin sur les actions qu’ils souhaitent dissimuler aux solutions de sécurité. Par exemple, ils pourraient choisir de cacher les processus liés à des ransomwares ou d’autres logiciels malveillants tout en permettant d’autres processus de rester visibles, ce qui rend l’identification de l’attaque encore plus difficile.

Une menace croissante pour les entreprises

L’utilisation d’un outil comme EDRSilencer montre à quel point les cyberattaques sont en constante évolution. Les entreprises se retrouvent confrontées à des attaques de plus en plus sophistiquées, capables de déjouer les systèmes de défense les plus avancés. Ce genre de menace montre également que la cybersécurité ne peut pas reposer uniquement sur une seule couche de protection.

Il est fortement recommandé de mettre en place des stratégies de défense multicouche. Ces stratégies incluent non seulement des solutions EDR, mais aussi des systèmes de détection des anomalies comportementales, des pare-feux, et des politiques strictes de gestion des accès. De plus, appliquer le principe du moindre privilège sur les utilisateurs et les processus permet de limiter l’ampleur des dégâts en cas de compromission d’un système.

Pour une détection proactive des comportements liés à des outils comme EDRSilencer, il est recommandé de mettre en place des règles analytiques personnalisées dans votre SIEM. Ces règles peuvent surveiller les modifications inhabituelles des filtres de la Windows Filtering Platform (WFP) ou les interruptions des processus critiques des solutions EDR. La plupart des SIEM (Microsoft Sentinel, Splunk, QRadar, etc.) permettent de créer des alertes spécifiques à ces comportements, aidant ainsi à prévenir les attaques.

/* 
Exemple de requête KQL qui surveille les événements WFP (5156, 5157) et les interruptions ou modifications des processus liés à Microsoft Defender 
*/
SecurityEvent
| where EventID == 5156 or EventID == 5157  // Modification dans la WFP
| where ProcessName contains "MsMpEng.exe" // Microsoft Defender Antivirus Process
| where ActionType == "ProcessTerminated" or ActionType == "AuditPolicyChange"
| project TimeGenerated, Computer, Account, ProcessName, EventID, ActionType

En plus de la détection proactive des menaces par la surveillance des comportements suspects, des audits réguliers de la sécurité des infrastructures, sont des éléments clés pour se protéger contre des outils comme EDRSilencer. Cela montre l’importance d’être toujours en avance sur les cybercriminels, qui ne cessent d’adapter leurs techniques.

Conclusion

L’émergence de EDRSilencer comme outil dans les mains des attaquants illustre une tendance inquiétante dans le domaine de la cybersécurité. Des outils initialement développés pour aider les professionnels à tester et renforcer les systèmes de sécurité peuvent être utilisés à des fins malveillantes. Cela souligne l’importance d’une vigilance constante et d’une adaptation rapide face à des menaces toujours plus sophistiquées.

Plus d’information:
EDRSilencer red team tool used in attacks to bypass security
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions | Trend Micro (US)