Trend Micro Security

HackTool.Win64.EDRSilencer.REDT

2024年11月18日
 解析者: John Rainier Navato   
 別名:

Generic.Trojan.EDRStealer.A.E950CF56 (BITDEFENDER)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ハッキングツール
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 381,937 bytes
タイプ EXE
メモリ常駐 なし
発見日 2024年7月16日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

プログラムは、以下を実行します。

  • It uses the Windows Filtering Platform (WFP) to block the outbound traffic of the following EDR processes:
    • Carbon Black Cloud
      • RepMgr.exe
      • RepUtils.exe
      • RepUx.exe
      • RepWAV.exe
      • RepWSC.exe
    • Carbon Black EDR
      • cb.exe
    • Cybereason
      • AmSvc.exe
      • CrAmTray.exe
      • CrsSvc.exe
      • CybereasonAV.exe
      • ExecutionPreventionSvc.exe
    • Cylance
      • CylanceSvc.exe
    • Cisco Secure Endpoint (Formerly Cisco AMP)
      • sfc.exe
    • Elastic EDR
      • elastic-agent.exe
      • elastic-endpoint.exe
      • filebeat.exe
      • winlogbeat.exe
    • ESET Inspect
      • EIConnector.exe
      • ekrn.exe
    • FortiEDR
      • fortiedr.exe
    • Harfanglab EDR
      • hurukai.exe
    • Microsoft Defender for Endpoint and Microsoft Defender Antivirus
      • MsMpEng.exe
      • MsSense.exe
      • SenseCncProxy.exe
      • SenseIR.exe
      • SenseNdr.exe
      • SenseSampleUploader.exe
    • Palo Alto Networks Traps/Cortex XDR
      • cyserver.exe
      • CyveraService.exe
      • CyvrFsFlt.exe
      • Traps.exe
    • Qualys EDR
      • QualysAgent.exe
    • SentinelOne
      • LogProcessorService.exe
      • SentinelAgent.exe
      • SentinelAgentWorker.exe
      • SentinelBrowserNativeHost.exe
      • SentinelHelperService.exe
      • SentinelServiceHost.exe
      • SentinelStaticEngine.exe
      • SentinelStaticEngineScanner.exe
    • Tanium
      • TaniumClient.exe
      • TaniumCX.exe
      • TaniumDetectEngine.exe
    • Trellix EDR
      • xagt.exe
    • TrendMicro Apex One
      • CETASvc.exe
      • CNTAoSMgr.exe
      • EndpointBasecamp.exe
      • Ntrtscan.exe
      • PccNTMon.exe
      • TMBMSRV.exe
      • TmCCSF.exe
      • TmListen.exe
      • TmWSCSvc.exe
      • WSCommunicator.exe
  • It can add a WFP filter for a specific process based on user input.
  • It can remove all WFP filters created by this tool.
  • It can remove a specific WFP filter by filter ID.
  • It displays its logs on a console:

マルウェアは、以下のパラメータを受け取ります。

  • blockedr → Add WFP filters to block the IPv4 and IPv6 outbound traffic of all detected EDR processes
  • Block {process full path} → Add WFP filters to block the IPv4 and IPv6 outbound traffic of a specific process (full path is required)
  • unblockall → Remove all WFP filters applied by this tool
  • unblock {filter ID} → Remove a specific WFP filter based on filter ID
  • -h or --help → Shows the help message

<補足>
その他

プログラムは、以下を実行します。

  • Windowsフィルタリング・プラットフォーム(WFP)を悪用して、以下のEDR(Endpoint Detection and response)に関連するプロセスの外部通信をブロックします。
    • Carbon Black Cloud
      • RepMgr.exe
      • RepUtils.exe
      • RepUx.exe
      • RepWAV.exe
      • RepWSC.exe
    • Carbon Black EDR
      • cb.exe
    • Cybereason
      • AmSvc.exe
      • CrAmTray.exe
      • CrsSvc.exe
      • CybereasonAV.exe
      • ExecutionPreventionSvc.exe
    • Cylance
      • CylanceSvc.exe
    • Cisco Secure Endpoint (旧Cisco AMP)
      • sfc.exe
    • Elastic EDR
      • elastic-agent.exe
      • elastic-endpoint.exe
      • filebeat.exe
      • winlogbeat.exe
    • ESET Inspect
      • EIConnector.exe
      • ekrn.exe
    • FortiEDR
      • fortiedr.exe
    • Harfanglab EDR
      • hurukai.exe
    • Microsoft Defender for EndpointおよびMicrosoft Defenderウイルス対策機能 (Antivirus)
      • MsMpEng.exe
      • MsSense.exe
      • SenseCncProxy.exe
      • SenseIR.exe
      • SenseNdr.exe
      • SenseSampleUploader.exe
    • Palo Alto Networks Traps/Cortex XDR
      • cyserver.exe
      • CyveraService.exe
      • CyvrFsFlt.exe
      • Traps.exe
    • Qualys EDR
      • QualysAgent.exe
    • SentinelOne
      • LogProcessorService.exe
      • SentinelAgent.exe
      • SentinelAgentWorker.exe
      • SentinelBrowserNativeHost.exe
      • SentinelHelperService.exe
      • SentinelServiceHost.exe
      • SentinelStaticEngine.exe
      • SentinelStaticEngineScanner.exe
    • Tanium
      • TaniumClient.exe
      • TaniumCX.exe
      • TaniumDetectEngine.exe
    • Trellix EDR
      • xagt.exe
    • TrendMicro Apex One
      • CETASvc.exe
      • CNTAoSMgr.exe
      • EndpointBasecamp.exe
      • Ntrtscan.exe
      • PccNTMon.exe
      • TMBMSRV.exe
      • TmCCSF.exe
      • TmListen.exe
      • TmWSCSvc.exe
      • WSCommunicator.exe
  • ユーザの入力情報に基づいて、特定のプロセスにWFPフィルターを追加する可能性があります。
  • このプログラムによって作成されたすべてのWFP フィルターを削除する可能性があります。
  • フィルターID によって特定のWFPフィルターを削除する可能性があります。
  • コンソール上で自身のログを表示します。

マルウェアは、以下のパラメータを受け取ります。

  • blockedr → 検出されたすべてのEDRプロセスのIPv4およびIPv6における外部通信をブロックするためのWFPフィルターを追加する
  • Block {プロセスのフルパス} → 特定のプロセスのIPv4およびIPv6における外部通信をブロックするためのWFPフィルターを追加する(対象のフルパスを要する)
  • unblockall → このプログラムによって適用されたすべてのWFPフィルターを削除する
  • unblock {フィルターID} → 対象のフィルターIDに基づいて特定のWFP フィルターを削除する
  • -h or --help → ヘルプメッセージを表示する

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.745.00
SSAPI パターンリリース日: 2024年7月18日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.EDRSilencer.REDT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください