SilentButDeadly — новый инструмент для блокировки сетевых коммуникаций, который маскирует взаимодействия EDR и антивирусов через Windows Filtering Platform (WFP). Техника нацелена на обрыв облачных связей защитных продуктов без завершения процессов.
Обзор влияния SilentButDeadly на безопасность EDR
Как работает SilentButDeadly
Инструмент сначала проверяет права администратора и находит процессы EDR, такие как SentinelAgent.exe и MsMpEng.exe. Затем он создает динамическую сессию WFP высокого приоритета, устанавливая двусторонние фильтры для блокировки исходящей телеметрии и входящей команды управления для каждого процесса EDR.
Благодаря этому механизму, инструменты безопасности лишаются облачных обновлений и возможности удаленного управления, а также заглушается загрузка телеметрии. SilentButDeadly также пытается отключить сервисы EDR для предотвращения перезапусков и обновлений.
Способы защиты и ограничения
Техника требует прав администратора и оказывается неэффективной против решений EDR, защищённых сетевыми драйверами на уровне ядра. Для защиты от подобного воздействия рекомендуется проводить онлайн-мониторинг WFP, использовать дублирующие каналы связи для телеметрии, хранение местных событий с отсроченной отправкой, а также защита сервисов EDR драйверами уровня ядра.
- Мониторинг событий Windows, связанных с WFP (IDs 5441, 5157, 5152), может помочь в обнаружении атаки.
- SilentButDeadly использует динамические сессии, которые очищаются при завершении программы, что снижает количество следов в системе.
- Удалённое обновление, управление и загрузка данных защитными решениями оказываются под угрозой.
Это новая угроза для систем, основанных на Windows, особенно тех, которые не используют передовые методы защиты.
