工具推荐-禁止EDR出站流量

工具名为EDRSilencer

地址：https://github.com/netero1010/EDRSilencer

简单介绍：

该工具利用 Windows 本身的筛选平台 （WFP） 阻止EDR入侵检测和响应出站流量，使其不会向服务器报告安全事件，达到绕过的效果。

受 MdSec NightHawk 的闭源 FireBlock 工具 FireBlock 的启发，创建此工具的目的是使用 Windows 筛选平台 （WFP） API 阻止正在运行 EDR 进程的出站流量。

工具提供以下功能：

• 搜索已知正在运行的 EDR 进程，并添加 WFP 筛选器以阻止其出站流量

• 为特定进程添加 WFP 筛选器

• 删除此工具创建的所有 WFP 筛选器

• 按筛选器 ID 删除特定 WFP 筛选器

• 支持在 C2 中运行，带有内存 PE 执行模块（例如 BruteRatel's memexec ）

目前支持的EDR列表：

• Microsoft Defender for Endpoint and Microsoft Defender Antivirus

• Elastic EDR

• Trellix EDR

• Qualys EDR

• SentinelOne

• Cylance

• Cybereason

• Carbon Black EDR

• Carbon Black Cloud

• Tanium

• Palo Alto Networks Traps/Cortex XDR

• FortiEDR

• Cisco Secure Endpoint (Formerly Cisco AMP)

使用案例：

EDRSilencer.exe blockedr

原文始发于微信公众号（军机故阁）：工具推荐-禁止EDR出站流量