ENDPOINT BLIND SPOTS : UNDERSTANDING THE RISE OF EDR/AV EVASION ARE REAL
Published in Punggwawa Magazine Volume 6, 2025
Dalam beberapa tahun terakhir, ditemukan kampanye yang mencoba bypass EDR/AV agar penyerang dapat menjalankan aktivitas berbahaya tanpa terdeteksi. Salah satu caranya adalah memanfaatkan fitur bawaan Windows yang berjalan di level kernel untuk memantau dan memfilter traffic jaringan, yaitu Windows Filtering Platform (WFP). EDR dan antivirus modern menggunakannya untuk mendeteksi aktivitas mencurigakan, memblokir traffic berbahaya, dan mengirim informasi ke server pusat. Namun jika WFP dimanipulasi, malware dapat melewati proteksi EDR dan menjalankan aksi berbahaya secara tersembunyi.
Citation: Punggawa Magazine Volume 6</i>, 2025.