SilentButDeadly: nova ferramenta bloqueia tráfego de rede para ignorar EDR e antivírus – Against Invaders

SilentButDeadly: nova ferramenta bloqueia tráfego de rede para ignorar EDR e antivírus - Against Invaders

Uma ferramenta de código aberto recém-lançada chamada SilentButDeadly está levantando preocupações de segurança ao demonstrar como os invasores podem desativar efetivamente os sistemas de detecção e resposta de endpoint e software antivírus sem encerrar nenhum processo.

Desenvolvida pelo pesquisador de segurança Ryan Framiñán e lançada em 2 de novembro de 2025, a ferramenta explora a Plataforma de Filtragem do Windows para cortar a conectividade em nuvem para produtos de segurança, deixando os sistemas vulneráveis ​​a ataques.​

SilentButDeadly opera por meio de uma sequência de execução de sete fases que começa verificando os privilégios de administrador nos privilégios de administrador do sistema de destino.

A ferramenta então verifica a execução EDR processos, como SentinelOne, Windows Defender e Windows Defender ATP, para criar uma lista abrangente de softwares de segurança ativos.

Uma vez identificado, ele aproveita a Plataforma de Filtragem do Windows para estabelecer filtros de rede bidirecionais que bloqueiam as comunicações de entrada e de saída para cada processo de segurança detectado.​

O impacto deste isolamento da rede é grave. As soluções EDR afetadas não podem receber atualizações críticas de inteligência contra ameaças baseadas na nuvem, transmitir dados de telemetria para centros de operações de segurança ou aceitar comandos de gerenciamento remoto.

Além disso, a ferramenta tenta desligar os serviços EDR alterando seus tipos de inicialização e evitando reinicializações automáticas, cegando efetivamente as equipes de segurança para ameaças de endpoint.​

Esta ferramenta baseia-se em técnicas semelhantes lançadas pelo EDRSilencer, outra ferramenta da equipe vermelha que os agentes de ameaças têm reaproveitado ativamente para fins maliciosos desde 2024.

No entanto, SilentButDeadly apresenta segurança operacional aprimorada por meio de filtros dinâmicos e autolimpantes que se removem automaticamente quando o programa é encerrado, reduzindo artefatos forenses.​

A técnica demonstra uma vulnerabilidade arquitetônica fundamental em implantações modernas de EDR, que dependem fortemente da conectividade de rede para funções básicas de segurança.

As organizações que utilizam a detecção de ameaças baseada na nuvem enfrentam riscos substanciais quando suas soluções de segurança perdem a conectividade, à medida que os recursos de detecção local se tornam severamente limitados.​

Principais recursos

Capacidades de isolamento de rede: usa a Plataforma de Filtragem do Windows para criar filtros de alta prioridade que bloqueiam o tráfego de saída e de entrada IPv4 para processos EDR identificados.​

Descoberta automatizada de EDR: verifica processos em execução e identifica automaticamente software de segurança dos principais fornecedores, incluindo SentinelOne, Windows Defendere Defensor ATP.​

Interrupção de serviço: tentativas de interromper os serviços EDR e alterar sua configuração de inicialização para o status desativado, impedindo a recuperação automática.​

Gerenciamento de Filtro Dinâmico: cria filtros não persistentes por padrão que são limpos automaticamente após a saída do programa, minimizando o espaço de detecção.​

Flexibilidade de linha de comando: oferece suporte ao modo de registro detalhado e opções de filtro persistente para operações estendidas.​

Uso legítimo de API: requer privilégios de administrador, mas usa apenas APIs padrão do Windows sem manipulação do kernel ou carregamento de driver.​

Lista de alvos extensível: Facilmente configurável para direcionar produtos de segurança adicionais por meio de uma simples modificação de array.​

As equipes de segurança podem detectar esse ataque monitorando os logs de eventos do Windows para eventos específicos de criação de filtros WFP, incluindo os IDs de eventos 5441, 5157 e 5152.

As organizações devem implementar monitoramento WFP em tempo real, manter canais de comunicação redundantes para telemetria EDR e utilizar mecanismos de processos protegidos do Windows para evitar a manipulação não autorizada de serviços.​

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.