Son zamanlarda siber güvenlik camiasında çokça konuşulan konulardan birisi de EDR (Endpoint Detection and Response) sistemlerinin etkisiz hale getirilmesi konusu. Saldırganlar, EDR sistemlerini sessizleştirmek için genellikle iki temel yönteme başvuruyor: Windows Defender Firewall ve Windows Filtering Platform (WFP) üzerinden güvenlik duvarı kuralları oluşturma. Bu teknikler, EDR uygulamalarına doğrudan erişim gerektirmeden, sistemin dış dünya ile iletişimini kesebiliyor. Böylece EDR, tehditleri tespit etse bile bu bilgileri merkezi sunucuya iletemiyor.
Bu konuyu derinlemesine analiz eden bir makaleyi sizlerle paylaşıyorum. Bu makale, bu tehdide karşı iki etkili savunma stratejisi öneriyor: Prevention (Önleme) ve Immediate Removal (Anında Kaldırma). Önleme yaklaşımında, RegNtPreSetValueKey callback rutini kullanılarak zararlı güvenlik duvarı kurallarının oluşturulması engelleniyor. Anında Kaldırma yaklaşımında ise, RegNtPostSetValueKey callback mekanizması ile kural oluşturulduktan hemen sonra tespit edilip kaldırılıyor.
Özellikle dikkat çekici olan, EDRSilencer gibi araçların yarattığı tehditlere karşı geliştirilen çözümlerin etkinliği. Bu araçlar, WFP filtreleri oluşturarak hem IPv4 hem de IPv6 iletişimini engelleyebiliyor. Ancak FwpmFilterDeleteById0 ve FwpmProviderDeleteByKey0 fonksiyonları kullanılarak bu tehditler etkisiz hale getirilebiliyor.
Kurumların bu tehdide karşı hazırlıklı olmasının kritik öneme sahip olduğunun altını çizmekte fayda var. Registry izleme mekanizmalarının aktif kullanımı, düzenli güvenlik değerlendirmeleri ve EDR çözümlerinin sürekli güncel tutulması hayati önem taşıyor.
Silencing the EDR Silencers | Huntress
Discover how adversaries are using tools like EDRSilencer to tamper with EDR communications and learn how you can fight back.