Ya he hablado muchas veces aqui sobre EDR Silencer

Actualmente, EDRSilencer le permite “deshabilitar” soluciones como:

  1. Microsoft Defender for Endpoint and Microsoft Defender Antivirus
    2. Elastic EDR
    3. Trellix EDR
    4. Qualys EDR
    5. SentinelOne
    6. Cylance
    7. Cybereason
    8. Carbon Black EDR
    9. Carbon Black Cloud
    10. Tanium
    11. Palo Alto Networks Traps/Cortex XDR
    12. FortiEDR
    13. Cisco Secure Endpoint (Formerly Cisco AMP)
    14. ESET Inspect
    15. Harfanglab EDR
    16. TrendMicro Apex One

¿Tiene esto incluido en su modelo de amenaza? ¿Sabe cómo verificar que los controles de seguridad estén funcionando y enviando telemetría al SIEM o al servidor de administración?


EDRSilencer funciona de manera muy elegante: no intenta eludir ni deshabilitar las medidas de seguridad de la PC, sino que simplemente detecta los procesos responsables de EDR y utiliza reglas personalizadas de la Plataforma de filtrado de Windows (WFP) para bloquear comunicaciones entre el agente EDR y el servidor de gestión ¡Eso es todo! El agente cree que está enviando alarmas, pero el servidor no las recibe, por lo que no es capaz de reaccionar adecuadamente y la seguridad de la información no sabe que el nodo está comprometido.


🤝Puede combatir esto monitoreando dos eventos con ID 5155 y 5157, que simplemente muestran que WFP está bloqueando aplicaciones y conexiones.

Además, también necesita monitorear el nombre de la aplicación para cortar el funcionamiento real del filtro del funcionamiento de EDRSilencer.

Como opción, también se puede utilizar EDR, cuya lógica operativa se implementa en el propio agente y no en el servidor de gestión.

No hay muchas soluciones de este tipo, pero las hay .

S.I Stega Intelligence