防守方用来进行渗透测试及红队演练的工具，被黑客拿来从事网络攻击的现象，可说是越来越泛滥，其中最常见的是Cobalt Strike，利用Brute Ratel C4（BRC4）也有不少，但今年出现黑客采用其他工具的情况。

根据资安业者趋势科技的监控，有人利用名为EDRSilencer的红队演练工具从事攻击行动，此工具利用窗口操作系统内置的Windows筛选平台（Windows Filtering Platform，WFP），号称能干扰市面上16款常见的端点侦测与回应（EDR）系统运作。

研究人员指出，这款能够直接从网络下载的红队演练工具，借由阻断EDR流量，进而回避侦测，攻击者得以让恶意软件隐匿于受害电脑不易察觉。

究竟该红队演练工具如何运作？主要是借由动态识别的方式，找出正在运行的EDR处理进程，接着，攻击者创建WFP过滤器，以此封锁EDR系统的IPv4、IPv6对外流量，使得端点代理程序无法对主控台发送遥测数据及警示消息。

为了验证EDRSilencer是否真的能影响EDR系统运作，研究人员借由另一款工具EDRNoiseMaker进行验证，他们对于自家的Vision One进行测试，结果代理程序的流量都被封锁，后来运行勒索软件的时候，主控台并未出现对应的事件记录数据，并显示受害设备处于未活动的状态。

不过，黑客究竟如何将其用于实际攻击行动？研究人员仅透露，他们通过遥测的数据发现，部分黑客试图将这项红队演练工具作为重要的攻击配备，这代表接下来很可能会出现相关活动。值得留意的是，黑客利用这项工具的情况可能已有先例，资安业者Acronis揭露锁定台湾无人机制造商的攻击行动Operation WordDrone里，黑客当时压制杀毒软件及EDR系统，并滥用Windows内置的防火墙封锁流量，研究人员推测就是利用这项红队演练工具达到目的。