Una nueva herramienta de código abierto para pruebas de penetración, llamada
EDRChoker, introduce una técnica innovadora para silenciar agentes de detección y
respuesta de endpoints (EDR) conectados a la nube, no mediante la eliminación
de sus procesos ni la inyección de código, sino reduciendo silenciosamente su
ancho de banda de red a casi cero utilizando el motor de calidad de servicio
(QoS) basado en políticas nativo de Windows.
Desarrollada por el
investigador de seguridad @TwoSevenOneT, la herramienta aprovecha la
calidad de servicio (QoS) basada en políticas de Windows
para limitar el ancho de banda de los procesos EDR a casi cero, aislándolos
eficazmente de su infraestructura de comandos.
Las plataformas EDR modernas dependen de una conexión persistente y de baja
latencia entre el agente de endpoint y un servidor de administración en la
nube. Esta relación con el servidor es fundamental para la recopilación de
telemetría, la correlación de amenazas y el control administrativo.
Herramienta EDRChoker
Al interrumpir esta conexión, el agente EDR queda inactivo, incapaz de
informar sobre detecciones, recibir políticas actualizadas o aceptar comandos
remotos de los administradores. Esta dependencia arquitectónica es
precisamente lo que EDRChoker aprovecha.
Históricamente, los equipos rojos han utilizado dos métodos principales para
interrumpir las comunicaciones EDR: las reglas del Firewall de Windows
Defender y las llamadas a la API de la Plataforma de Filtrado de Windows
(WFP).
Herramientas como
EDRSilencer
utilizan la API FwpmFilterAdd0 para registrar filtros de red salientes
que descartan selectivamente los paquetes del agente EDR.
La limitación crítica es que el bloqueo basado en WFP, con visibilidad
forense, genera eventos de bloqueo y descarte de paquetes que las plataformas
de seguridad como Elastic Defend detectan activamente mediante reglas de
detección específicas, lo que genera alertas inmediatas en la categoría de
reglas de Evasión Potencial mediante la Plataforma de Filtrado de Windows.
New-NetQosPolicy -Name "EDRProcess_" -AppPathNameMatchCondition "agent.exe"
-ThrottleRateActionBitsPerSecond 8 -PolicyStore ActiveStore
A 8 bps, un protocolo de enlace TLS estándar, que requiere entre 3 KB y 6 KB
de datos de la cadena de certificados, se vuelve imposible de completar. El
agente EDR agota continuamente el tiempo de espera antes de intercambiar un
solo paquete, lo que produce errores de conexión interrumpida en lugar de
eventos de bloqueo del firewall detectables.
La ventaja técnica de EDRChoker es arquitectónica. La limitación de QoS se
aplica mediante pacer.sys, un controlador de filtro ligero NDIS que
opera directamente sobre la NIC física, una capa por debajo de WFP en la pila
de red de Windows. El orden de la pila es importante:
- WFP se ubica dentro de tcpip.sys en la capa de transporte.
-
pacer.sys intercepta tramas Ethernet sin procesar en el límite de
NDIS, más cerca del hardware. -
Debido a que opera en un nivel de privilegio inferior en la pila, las reglas
de pacer.sys rigen paquetes a los que las herramientas de monitorización EDR
de nivel WFP nunca llegan.
El investigador @TwoSevenOneT afirmó que EDRChoker acepta un archivo de
entrada con los nombres de los procesos EDR y genera automáticamente políticas
de QoS con nombres únicos (nombre del proceso + GUID aleatorio por ejecución)
para garantizar que no haya dos implementaciones que produzcan firmas de
reglas idénticas.
La herramienta,
disponible en GitHub, funciona en dos modos:
-
Modo de eliminación: Se ejecuta sin parámetros para eliminar por completo
todas las políticas de QoS instaladas. -
Modo de instalación: Acepta un archivo de entrada con los nombres de los
procesos EDR y crea políticas de QoS con nombres únicos (nombre del proceso
+ GUID aleatorio) que se mantienen incluso después de reiniciar el sistema.
La técnica EDRChoker pone de manifiesto una realidad arquitectónica crucial:
las herramientas EDR que dependen totalmente de la conectividad en la nube
presentan un punto único de fallo inherente.
A medida que los atacantes profundizan en la pila de red de Windows para
evadir la detección, los defensores deben extender la monitorización al mismo
nivel o corren el riesgo de operar a ciegas precisamente cuando más importa.
Fuente:
CyberSecurityNews