No cenário em constante evolução da segurança cibernética, as soluções de Detecção e Resposta de Endpoint (EDR) servem como defesas críticas contra ameaças sofisticadas. No entanto, os adversários estão continuamente refinando suas táticas para contornar essas proteções e realizar atividades maliciosas sem serem detectadas. Nesta postagem do blog, exploramos 10 estratégias avançadas para bypassar e monitorar EDR com eficiência que todo profissional da área deve conhecer e, em um futuro próximo, dominar.

10 Estratégias Avançadas para Bypassar e Monitorar EDR com Eficiência

1. API Hooking – Monitoramento de chamadas de API para detectar comportamentos suspeitos. APIs comuns observadas incluem VirtualAlloc, VirtualProtect, WriteProcessMemory e CreateRemoteThread.

2. Kernel Callbacks – Uso de rotinas de notificação no kernel para monitorar atividades do sistema, como a criação de processos ou threads e o carregamento de imagens. PsSetCreateProcessNotifyRoutine é um exemplo dessa prática.

3. Event Tracing for Windows (ETW) – Rastreamento eficiente em nível de kernel que registra eventos definidos pelo kernel ou pela aplicação, consumidos em tempo real ou de arquivos de log para depuração e análise de desempenho.

4. Parent-Child Spoofing – Técnica para mascarar relações de processos e evitar detecção, criando processos filhos que aparentam ser legítimos.

5. Process Hollowing – Injeção de código em processos legítimos para esconder atividades maliciosas, criando um novo processo em um espaço de memória existente.

6. Unhooking EDR – Remoção de ganchos de APIs em userland para evitar monitoramento por ferramentas EDR, utilizando chamadas diretas ao sistema.

7. SysWhispers – Ferramenta que facilita o uso de chamadas de sistema diretas, evitando hooks de API em userland. SysWhispers2 e SysWhispers3 são versões atualizadas que ajudam na evasão de detecção.

8. Telemetry Tampering – Manipulação ou evasão de telemetria coletada por EDR, compreendendo os detalhes de sua coleta para escolher mecanismos de bypass apropriados.

9. Nanodump – Ferramenta utilizada para despejar memória de processos, frequentemente usada em conjunto com técnicas de elevação de privilégios.

10. Adversary Emulation com IA – Uso de modelos de linguagem para gerar comandos e emular atividades adversárias de forma realista, aprimorando campanhas de segurança e antecipando novos tipos de ameaças.

Confira também: 10 Ferramentas e Práticas Essenciais para Proteger suas APIs Contra Ameaças Modernas

Gostou do conteúdo? Se você deseja aprofundar seu conhecimento sobre cibersegurança, confira os cursos disponíveis da IBSEC.

CONFIRA TAMBÉM:

• 
  17.09.2024 | Carreiras em Cibersegurança

  10 Práticas de Zero Trust para Implementar em Sua Organização

  Você já se perguntou se sua organização está realmente protegida contra as ameaças cibernéticas modernas? Em um mundo onde 78% das empresas sofreram pelo menos um ataque bem-sucedido nos últimos 12 meses, a abordagem tradicional de […]

• 
  17.09.2024 | Carreiras em Cibersegurança

  Vulnerabilidade CVE-2024-32896 permite escalonamento de privilégios no Android

  Dispositivos Android, incluindo smartphones de várias marcas (Google, Samsung, Xiaomi, entre outros), com sistemas operacionais Android 12, 13 e 14, foram impactados. A vulnerabilidade foi encontrada no componente Framework, afetando milhões de dispositivos globalmente. A CVE-2024-32896 […]