About Teletype
Join
THREAD
@thread_type
October 17

EDRSilencer

Инструмент с открытым исходным кодом, разработанный по аналогии с коммерческим решением NightHawk FireBlock от MdSec. Программа выявляет активные процессы EDR и использует платформу Windows Filtering Platform (WFP) для отслеживания и блокировки сетевого трафика по протоколам IPv4 и IPv6. WFP, применяемая в межсетевых экранах и антивирусах, позволяет настраивать устойчивые фильтры, используемые для контроля трафика.

Что такое EDR? EDR (Endpoint Detection and Response) — это класс решений для обнаружения и изучения вредоносной активности на конечных точках: подключённых к сети рабочих станциях, серверах, устройствах Интернета вещей и так далее. EDR-системы осуществляют постоянный мониторинг активности на конечных точках, включая запущенные процессы, сетевую активность, изменения в файловой системе и действия пользователей.

Функции:

  • Найдет известные запущенные процессы EDR и добавит фильтр WFP для блокировки исходящего трафика
  • Добавит фильтр ВПП для конкретного процесса
  • Удалит определенный фильтр WFP по идентификатору фильтра
  • Поддержка запуска в C2 с модулем выполнения PE в памяти (BruteRatel's memexec)
  • Некоторые элементы управления EDR (например, minifilter) запрещает доступ, когда процесс пытается получить дескриптор файла своих EDR-процессов (например, через CreateFileW)

Инструмент поддерживает следующие EDR:

  • Microsoft Defender for Endpoint and Microsoft Defender Antivirus
  • Elastic EDR
  • Trellix EDR
  • Qualys EDR
  • SentinelOne
  • Cylance
  • Cybereason
  • Carbon Black EDR
  • Carbon Black Cloud
  • Tanium
  • Palo Alto Networks Traps/Cortex XDR
  • FortiEDR
  • Cisco Secure Endpoint (Formerly Cisco AMP)
  • ESET Inspect
  • Harfanglab EDR
  • TrendMicro Apex One

Как использовать:

Usage: EDRSilencer.exe <blockedr/block/unblockall/unblock>
- Add WFP filters to block the IPv4 and IPv6 outbound traffic of all detected EDR processes:
  EDRSilencer.exe blockedr
- Add WFP filters to block the IPv4 and IPv6 outbound traffic of a specific process (full path is required):
  EDRSilencer.exe block "C:\Windows\System32\curl.exe"
- Remove all WFP filters applied by this tool:
  EDRSilencer.exe unblockall
- Remove a specific WFP filter based on filter id:
  EDRSilencer.exe unblock <filter id>
#malware

Download / Github

THREAD
October 17, 17:33
0 reactions
0 views