EDRSilencer - jak działa cichy sabotaż systemów EDR

EDRSilencer - jak działa cichy sabotaż systemów EDR

EDR działa. Dashboard świeci na zielono. Agent jest uruchomiony, licencja aktywna, żadnego komunikatu o awarii. A mimo to atakujący siedzi w sieci od kilku dni i nikt nic nie widzi.
To nie scenariusz z filmu, tylko efekt działania EDRSilencer, jednego z najczęściej wykorzystywanych dziś narzędzi do tak zwanego EDR silencingu, czyli wyciszania systemów wykrywania i reagowania na zagrożenia.
EDRSilencer to publicznie dostępne narzędzie, które blokuje ruch sieciowy procesów EDR za pomocą Windows Filtering Platform, przez co telemetria bezpieczeństwa przestaje docierać do konsoli zarządzania, mimo że sam agent nadal działa. I właśnie to jest w tym najbardziej niepokojące: EDR nie pada, tylko przestaje mówić.

Czym różni się EDRSilencer od zwykłego EDRKillera

Klasyczne narzędzia typu EDRKiller działają zupełnie inną metodą. Dobrym przykładem jest EDRKillShifter, odkryty przez Sophos w maju 2024 roku i powiązany z grupą ransomware RansomHub. To loader, który po uruchomieniu z odpowiednim hasłem odszyfrowuje i wykonuje w pamięci osadzony ładunek, a ten z kolei instaluje legalny, ale podatny sterownik systemowy. Wykorzystując lukę w tym sterowniku, atakujący zyskuje uprawnienia na poziomie jądra i fizycznie kończy procesy EDR znajdujące się na zaszytej w kodzie liście celów. To klasyczny atak typu Bring Your Own Vulnerable Driver, znany od lat, tylko opakowany w nowe narzędzie.
Skutek takiego ataku zwykle da się zauważyć: proces EDR znika, agent przestaje raportować status, konsola pokazuje offline. To metoda głośna i dość "brutalna", choć technicznie bywa mocno wyrafinowana, bo EDRKillShifter dodatkowo maskuje się samomodyfikującym się kodem, żeby utrudnić analizę.
EDRSilencer działa zupełnie inaczej. Nie dotyka samego procesu EDR i nie potrzebuje żadnego podatnego sterownika. Zamiast tego blokuje mu drogę do internetu, więc program dalej zbiera dane lokalnie, dalej "widzi" co się dzieje na komputerze, tylko nie ma jak wysłać tego dalej. Z perspektywy konsoli zarządzania agent może wyglądać na w pełni sprawny, bo status online często opiera się na ostatnim znanym połączeniu, a nie na ciągłym potwierdzeniu w czasie rzeczywistym. Właśnie ta cisza, zamiast wyraźnego zniknięcia, czyni EDRSilencer trudniejszym do wychwycenia na pierwszy rzut oka.

Skąd się wzięło to narzędzie

EDRSilencer to program napisany w C, opublikowany na GitHubie przez autora działającego pod pseudonimem netero1010. Sam autor podaje, że inspiracją była funkcja FireBlock, będąca elementem frameworku MDSec NightHawk,komercyjnego narzędzia C2 (command and control) używanego w profesjonalnym red teamingu, ujawniona publicznie we wrześniu 2023 roku. FireBlock realizowała dokładnie ten sam pomysł, tylko w zamkniętym, komercyjnym obiegu. Od tego czasu koncept doczekał się kilku publicznych wariantów, między innymi SilentButDeadly i WFP_EDR, opartych na tym samym mechanizmie.
Sam mechanizm nazywa się Windows Filtering Platform, w skrócie WFP. To wbudowany w Windowsa framework do filtrowania ruchu sieciowego, na którym opiera się między innymi standardowy Windows Firewall. WFP udostępnia deweloperom API do tworzenia reguł blokujących lub przepuszczających ruch na podstawie adresu IP, portu, protokołu czy konkretnej aplikacji, dokładnie z tych samych API korzystają legalne firewalle i rozwiązania bezpieczeństwa. EDRSilencer po prostu odwraca ich przeznaczenie.

Jak to działa krok po kroku

Działanie EDRSilencer można rozłożyć na trzy etapy.
Po pierwsze, narzędzie skanuje uruchomione procesy w systemie i porównuje je z wbudowaną listą znanych plików wykonywalnych EDR. Trend Micro opublikowało pełną listę procesów wpisanych na sztywno w kod EDRSilencer(źródło: Trend Micro, Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions,). Kilka przykładów, żeby pokazać skalę: 

  • Microsoft Defender for Endpoint - MsMpEng.exe, MsSense.exe
  • ESET Inspect - ekrn.exe, EIConnector.exe
  • SentinelOne - SentinelAgent.exe
  • Cybereason - AmSvc.exe
  • Cisco Secure Endpoint - sfc.exe
  • Cybereason - AmSvc.exe
  • Palo Alto Cortex XDR - Traps.exe
  • Trend Micro Apex One - TmListen.exe

Łącznie lista obejmuje kilkanaście producentów EDR, od Carbon Black przez Elastic i Tanium po Qualys, co pokazuje, że narzędzie było projektowane z myślą o uniwersalności, a nie ataku na jeden konkretny produkt. 
Po drugie, gdy narzędzie znajdzie pasujący proces, pobiera pełną ścieżkę do jego pliku wykonywalnego i na tej podstawie tworzy filtr WFP blokujący ruch wychodzący tego konkretnego programu, zarówno dla IPv4, jak i IPv6. Filtr działa na poziomie aplikacji, więc atakujący nie musi w żaden sposób ingerować w sam proces EDR ani otwierać do niego uchwytu. Wystarczy zablokować mu drogę na zewnątrz.
Po trzecie, filtry tworzone przez EDRSilencer są zapisywane jako reguły trwałe, co oznacza, że przetrwają restart komputera. Narzędzie ma prosty interfejs wiersza poleceń: można nim zablokować wszystkie wykryte procesy EDR naraz, wybrać konkretny proces albo usunąć wcześniej utworzone filtry.
Cały proces uruchamia się jedną komendą. Jedynym realnym warunkiem jest posiadanie uprawnień administratora lokalnego.

To nie jest teoria. To się dzieje naprawdę

EDRSilencer powstał jako narzędzie do red teamingu, czyli do legalnego testowania odporności organizacji na ataki. Problem w tym, że od października 2024 roku obserwowane jest realne wykorzystanie tego narzędzia przez atakujących w prawdziwych incydentach, nie tylko w testach penetracyjnych. Zespół Threat Hunting Trend Micro opisał przypadki integrowania EDRSilencer bezpośrednio z łańcuchem ataku po to, żeby uśpić czujność zainstalowanego EDR-a i zyskać czas na dalsze działania bez ryzyka wykrycia.
Warto też zobaczyć ten temat szerzej. Obok EDRSilencer w obiegu funkcjonują inne narzędzia do blokowania widoczności EDR, takie jak AuKill czy EDRKillShifter, wykorzystywane między innymi przez grupy ransomware. Różnica jest taka, że tamte najczęściej korzystają z podatnych sterowników, żeby zabić proces EDR na poziomie jądra. EDRSilencer działa subtelniej, bo nie ingeruje w proces, tylko w jego komunikację i właśnie dlatego bywa trudniejszy do wykrycia klasycznymi metodami.

Jak wykryć EDR silencing zanim będzie za późno

Dobra wiadomość: ta technika zostawia ślady. Trzeba tylko wiedzieć, gdzie ich szukać.
Reguły WFP, podobnie jak klasyczne reguły firewalla, trafiają do rejestru systemowego. Filtry WFP zapisywane są w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Filter, a reguły tworzone bezpośrednio przez Windows Firewall lądują pod HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules. Monitorowanie zmian w tych dwóch lokalizacjach to jeden z najskuteczniejszych sposobów na wczesne wychwycenie próby manipulacji.
Drugi trop to zdarzenia Windows. Operacje na WFP generują konkretne identyfikatory, które warto zbierać i korelować:

  • 5444 i 5157 – utworzenie filtra blokującego (FwpmFilterAdd0) 
  • 5441 – dodanie nowego providera WFP (FwpmProviderAdd0) 
  • 5445 – usunięcie filtra (FwpmFilterDeleteById0) 
Domyślnie audyt tych zdarzeń nie jest włączony w Active Directory. Trzeba go aktywować ręcznie w zasadach grupy, w sekcji Advanced Audit Policy Configuration, konkretnie w Policy Change (Audit Filtering Platform Policy Change) oraz Object Access (Audit Filtering Platform Connection i Audit Filtering Platform Packet Drop). Jedno ostrzeżenie: pełny audyt WFP potrafi mocno zwiększyć ilość generowanych logów, więc dobrym punktem startowym jest skupienie się najpierw na zdarzeniach 5444 i 5157, czyli na momencie tworzenia nowych filtrów.
Niektóre rozwiązania EDR idą o krok dalej i nie tylko wykrywają próbę zablokowania, ale od razu ją cofają. Odbywa się to przez monitorowanie operacji na rejestrze na poziomie sterownika w jądrze systemu i automatyczne usuwanie złośliwej reguły zaraz po jej utworzeniu, zanim zdąży ona realnie zablokować komunikację na dłużej.
Trend Micro opublikowało też konkretny wskaźnik kompromitacji dla jednej ze zbadanych próbek EDRSilencer, który warto mieć w swojej bazie IOC: hash SHA256 721af117726af1385c08cc6f49a801f3cf3f057d9fd26fcec2749455567888e7, wykrywany jako HackTool.Win64.EDRSilencer.REDT.
To hash jednej konkretnej próbki, więc sam w sobie nie wykryje wariantów narzędzia ani nowych kompilacji z innego kodu źródłowego, ale jest dobrym punktem startowym do sprawdzenia w SIEM czy VirusTotal, czy dana próbka nie krążyła już w Twoim środowisku.

Co zrobić już dziś

Kilka konkretnych kroków, które warto wdrożyć niezależnie od wielkości organizacji:
  • Włącz audyt zdarzeń Filtering Platform Policy Change i Filtering Platform Connection w GPO, przynajmniej dla stacji krytycznych. 
  • Monitoruj klucze rejestru odpowiedzialne za reguły WFP i Windows Firewall pod kątem nieautoryzowanych zmian. 
  • Zapytaj dostawcę EDR wprost, czy agent ma mechanizm samoobrony przed manipulacją regułami sieciowymi – nie tylko ochronę przed zatrzymaniem procesu, ale też przed odcięciem komunikacji. 
  • Ogranicz liczbę kont z uprawnieniami lokalnego administratora. To jedyny realny warunek, jaki musi spełnić atakujący, żeby w ogóle uruchomić EDRSilencer. 
  • Zbuduj regułę detekcyjną opartą na zdarzeniu 5157 dla znanych plików EDR. Złapiesz nią nie tylko EDRSilencer, ale też jego warianty korzystające z tego samego mechanizmu WFP. 
Nowoczesne platformy EDR i MDR, w tym rozwiązania WatchGuard, CrowdStrike i ESET, adresują ten typ manipulacji przez mechanizmy ochrony agenta na poziomie sieci i jądra systemu, a nie tylko przez klasyczną ochronę samego procesu. 
Marketing Specialist
Autor artykułu
Marketing Specialist
Oceń blog:
Czas czytania: 12 min
Data: 07.07.2026

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
The Gentlemen ransomware - jak działa jedna z największych grup RaaS Managed Detection and Response (MDR)
EDRSilencer - jak atakujący wyłączają EDR bez alertów Endpoint Detection and Response (EDR)
CrowdStrike Agentic SOC – AI i automatyzacja w platformie Falcon Extended Detection and Response (XDR)
CrowdStrike Falcon Cloud Security - bezpieczeństwo chmury Ochrona Środowisk Chmurowych
CrowdStrike Falcon Enterprise VELOCITY

CrowdStrike Falcon Enterprise VELOCITY

Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon Go VELOCITY

CrowdStrike Falcon Go VELOCITY

Velocity Falcon Go to gotowy pakiet ochrony endpointów oparty na NGAV, rozszerzony o kontrolę urządzeń i uproszczone zarządzanie w modelu cloud.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon COMPLETE

CrowdStrike Falcon COMPLETE

Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.

Wycena indywidualna
Zobacz więcej