トレンドマイクロは、「EDRSilencer(イーディーアールサイレンサー)」と呼ばれるレッドチームツールが、複数のエンドポイントセキュリティ製品(EDR)を回避するために悪用されていると報告しました。この記事では、このツールの詳細や、トレンドマイクロの調査結果を解説します。
EDRとは?
EDR(Endpoint Detection and Response)は、サーバやPC、モバイル端末のセキュリティを強化し、マルウェア感染や攻撃の兆候をリアルタイムで監視・検知するソリューションです。ログ分析や脅威の隔離も可能で、近年のゼロトラスト・セキュリティの中核的役割を果たします。
EDRSilencerの仕組み
概要
EDRSilencerは、オープンソースのレッドチーム用ツールとして開発されましたが、悪意ある攻撃者によりエンドポイントセキュリティの回避目的で悪用されています。このツールは、**Windows Filtering Platform(WFP)**を使用してネットワークトラフィックを操作し、EDRプロセスを無効化します。
WFPの利用
- Windows Filtering Platformは、Windowsに組み込まれたフレームワークで、IPアドレスやプロトコル、ポートに基づいたトラフィックの制御が可能です。
- EDRSilencerは、このWFPを用いてEDR製品の通信を監視し、ブロックするカスタムフィルターを作成します。
EDRSilencerによるEDRの無効化テスト結果
トレンドマイクロの検証では、以下の主要なEDR製品がEDRSilencerにより無効化できることが確認されました。
無効化が確認されたEDR製品
| EDR製品 | プロセス例 |
|---|---|
| Carbon Black Cloud | RepMgr.exe, RepUtils.exe |
| Cisco Secure Endpoint | sfc.exe |
| Microsoft Defender for Endpoint | MsMpEng.exe, MsSense.exe |
| SentinelOne | SentinelAgent.exe, SentinelServiceHost.exe |
| TrendMicro Apex One | CETASvc.exe, TmListen.exe |
一部のEDRツールでは、EDRSilencerのハードコードされたリストにないプロセスが通信を続ける可能性が示唆されました。しかし、追加のプロセスを特定しブロックすることで、EDRの通信ログを完全に停止できることが確認されています。
EDRSilencerの脅威とリスク
EDRSilencerの悪用により、マルウェアやその他の攻撃が検知されずに成功するリスクが高まります。特に、EDRが無効化された環境では、攻撃者が検出されることなくネットワークにアクセスし続け、機密情報を盗み出す可能性があります。
トレンドマイクロの提言:多層的な防御が重要
トレンドマイクロは、EDRSilencerの脅威に対して、以下のセキュリティ対策を推奨しています:
- 多層的なセキュリティ制御の実装
EDRと他のセキュリティ製品を組み合わせ、複数のレイヤーで防御を行います。 - 動作分析と異常検知を提供するソリューションの導入
パターンマッチングに依存せず、挙動ベースでの脅威検出を強化します。 - 侵害の兆候の早期発見
ネットワーク上の異常な通信やプロセスの動作を定期的に監視します。 - 最小権限の原則の適用
全従業員が必要最低限の権限のみを持つことで、万が一の感染時の影響を抑えます。
まとめ
EDRSilencerは、合法的なレッドチーム用ツールとして開発されましたが、攻撃者により悪用されることでEDRを無力化する深刻なリスクが生じています。トレンドマイクロの調査は、多層防御と異常検知の強化が重要であることを示しています。
サイバー攻撃が巧妙化する中で、EDR単体の防御では不十分であり、ゼロトラストを基盤とするセキュリティモデルの実践が不可欠です。
参照元
