· Threat Hunting Team · Ananta Security Labs  · 3 min read

Les EDR Silencer - Une nouvelle menace dans le monde de la cybersécurité

Une nouvelle technique pour contourner la détection des EDR et agir en toute discrétion.

Une nouvelle technique pour contourner la détection des EDR et agir en toute discrétion.

Les attaquants perfectionnent constamment leurs techniques pour contourner les systèmes de cybersécurité. L’une des méthodes récentes qu’ils utilisent est l’EDR Silencer, un outil permettant de bloquer l’envoi de télémétrie et d’alertes vers les plateformes de détection des EDR (Endpoint Detection and Response). Cela leur permet d’agir en toute discrétion tout en évitant la détection des analystes SOC.

Qu’est-ce qu’un EDR Silencer ?

Un EDR Silencer est un outil spécialement conçu pour éviter la détection des EDR par les attaquants. Il bloque l’envoi de télémétrie et d’alertes vers les plateformes de détection des EDR, ce qui permet aux attaquants de continuer leurs activités malveillantes en toute discrétion.

Prérequis pour l’utilisation d’un EDR Silencer

L’usage d’un EDR Silencer n’est pas à la portée de n’importe quel attaquant. Il nécessite :

  1. Avoir pris le contrôle d’une machine Windows : L’attaquant doit avoir exécuté son code malveillant sur la machine cible.

  2. Avoir les droits administrateurs : Sans privilèges élevés, il est impossible de modifier les règles de filtrage réseau et de bloquer les communications de l’agent EDR.

La Plateforme de Filtrage Réseau Windows (WFP)

L’EDR Silencer exploite une fonctionnalité propre à Windows : Windows Filtering Platform (WFP). WFP est un ensemble d’API et de services système permettant de créer des applications de filtrage réseau. Son rôle principal est d’autoriser ou de bloquer le trafic en fonction de règles définies par les administrateurs ou par les logiciels de sécurité.

Les attaquants utilisent cette technologie à des fins malveillantes en y injectant des règles interdisant les communications de l’agent EDR vers son serveur de télémétrie.

Limites des EDR Silencer

Il est important de noter que l’utilisation d’un EDR Silencer ne permet pas aux attaquants de désactiver totalement un EDR robuste. Voici ce qu’ils peuvent et ne peuvent pas faire :

✅ Ce que permet un EDR Silencer :

  • Empêcher l’EDR d’envoyer des événements et alertes à la plateforme cloud.
  • Masquer des activités malveillantes aux analystes SOC.

❌ Ce qu’il ne permet pas :

  • Contourner les mécanismes d’auto-protection d’un EDR robuste.
  • Désactiver les protections de l’EDR en mémoire.
  • Empêcher le blocage des activités malveillantes locales.

En d’autres termes, si un EDR bien conçu empêche l’exécution de code malveillant, l’attaquant restera bloqué, même si la remontée des alertes est bloquée.

Comment détecter un EDR Silencer ?

Un EDR Silencer se caractérise par des règles de filtrage réseau spécifiques qui interdisent les communications de l’agent EDR vers son serveur de télémétrie.

Tester la détection des EDR Silencer

Chez Ananta, nous avons développé un Proof of Concept (PoC) d’EDR Silencer en Rust, disponible ici. Ce POC permet aux chercheurs et professionnels de la cybersécurité de tester les capacités de détection des solutions EDR face à ce type de menace.

L’objectif est de permettre aux entreprises de renforcer leurs mécanismes de détection et de réponse face à ces menaces.

La protection intégrée dans l’agent EDR d’Ananta

L’agent Ananta EDR inclut une fonctionnalité avancée de détection des EDR Silencer. Cette protection fonctionne en surveillant en temps réel :

  • L’API WFP
  • Le pare-feu Windows

Ainsi, chaque tentative de blocage réseau malveillante sera détectée, les règles suspectes seront supprimées et une alerte sera levée sur la plateforme.

Cette approche permet de garantir que l’agent EDR ne peut pas être aveuglé par un attaquant cherchant à masquer ses actions.

Ce qu’il faut retenir

Les EDR Silencer représentent une menace réelle pour la cybersécurité en permettant aux attaquants de cacher leurs activités. Cependant, ces outils ne sont pas infaillibles et un EDR robuste est capable de détecter et neutraliser ces tentatives de sabotage.

Chez Ananta, nous avons développé des outils permettant non seulement de tester la résilience des EDR face à cette attaque, mais aussi de proteger efficacement toutes vos machines.

Pour en savoir plus sur notre solution ou être accompagné dans le test de notre POC, contactez-nous.

Share:
Back to Blog

Related Posts

View All Posts »