No cenário em constante evolução da segurança cibernética, as soluções de Detecção e Resposta de Endpoint (EDR) servem como defesas críticas contra ameaças sofisticadas. No entanto, os adversários estão continuamente refinando suas táticas para contornar essas proteções e realizar atividades maliciosas sem serem detectadas. Nesta postagem do blog, exploramos 10 estratégias avançadas para bypassar e monitorar EDR com eficiência que todo profissional da área deve conhecer e, em um futuro próximo, dominar.

10 Estratégias Avançadas para Bypassar e Monitorar EDR com Eficiência

1. API Hooking – Monitoramento de chamadas de API para detectar comportamentos suspeitos. APIs comuns observadas incluem VirtualAlloc, VirtualProtect, WriteProcessMemory e CreateRemoteThread.

2. Kernel Callbacks – Uso de rotinas de notificação no kernel para monitorar atividades do sistema, como a criação de processos ou threads e o carregamento de imagens. PsSetCreateProcessNotifyRoutine é um exemplo dessa prática.

3. Event Tracing for Windows (ETW) – Rastreamento eficiente em nível de kernel que registra eventos definidos pelo kernel ou pela aplicação, consumidos em tempo real ou de arquivos de log para depuração e análise de desempenho.

4. Parent-Child Spoofing – Técnica para mascarar relações de processos e evitar detecção, criando processos filhos que aparentam ser legítimos.

5. Process Hollowing – Injeção de código em processos legítimos para esconder atividades maliciosas, criando um novo processo em um espaço de memória existente.

6. Unhooking EDR – Remoção de ganchos de APIs em userland para evitar monitoramento por ferramentas EDR, utilizando chamadas diretas ao sistema.

7. SysWhispers – Ferramenta que facilita o uso de chamadas de sistema diretas, evitando hooks de API em userland. SysWhispers2 e SysWhispers3 são versões atualizadas que ajudam na evasão de detecção.

8. Telemetry Tampering – Manipulação ou evasão de telemetria coletada por EDR, compreendendo os detalhes de sua coleta para escolher mecanismos de bypass apropriados.

9. Nanodump – Ferramenta utilizada para despejar memória de processos, frequentemente usada em conjunto com técnicas de elevação de privilégios.

10. Adversary Emulation com IA – Uso de modelos de linguagem para gerar comandos e emular atividades adversárias de forma realista, aprimorando campanhas de segurança e antecipando novos tipos de ameaças.

Confira também: 10 Ferramentas e Práticas Essenciais para Proteger suas APIs Contra Ameaças Modernas

Gostou do conteúdo? Se você deseja aprofundar seu conhecimento sobre cibersegurança, confira os cursos disponíveis da IBSEC.

CONFIRA TAMBÉM:

• 
  21.11.2024 | Carreiras em Cibersegurança

  Segurança da Informação: O que é OWASP Zed Attack Proxy?

  Os atores de ameaças estão se tornando mais inteligentes. E é por isso que os ataques cibernéticos estão se tornando mais cultivados e desenfreados a cada dia que passa. Consequentemente, prestar atenção à segurança da web […]

• 
  20.11.2024 | Carreiras em Cibersegurança

  10 Técnicas Cruciais para Análise de Emojis

  Em um mundo cada vez mais digital, os emojis se tornaram uma forma universal de comunicação, ultrapassando barreiras linguísticas e culturais. No entanto, a interpretação de emojis vai muito além do que aparenta; esses pequenos ícones […]