工具介绍
https://www.mdsec.co.uk/2023/09/nighthawk-0-2-6-three-wise-monkeys/
工具提供以下功能:
搜索已知正在运行的EDR进程并添加WFP过滤器以阻止其出站流量
为特定进程添加WFP过滤器
删除此工具创建的所有WFP过滤器
按过滤器ID删除特定的WFP过滤器
支持使用内存中的PE执行模块在C2中运行(例如,BruteRatel's memexec)
当进程试图获取其EDR进程的文件句柄(例如,通过CreateFileW)时,某些EDR控件(例如,microfilters)拒绝访问。然而,用于获取目标EDR进程的FWP应用程序id的FwpmGetAppIdFromFileName0 API在内部调用CreateFileW。为了避免这种情况,实现了自定义FwpmGetAppIdFromFileName0,以在不调用CreateFileW的情况下构造应用程序id,从而防止在向EDR进程添加WFP筛选器时出现意外故障
Microsoft Defender for Endpoint and Microsoft Defender Antivirus
Elastic EDR
Trellix EDR
Qualys EDR
SentinelOne
Cylance
Cybereason
Carbon Black EDR
Carbon Black Cloud
Tanium
Palo Alto Networks Traps/Cortex XDR
FortiEDR
Cisco Secure Endpoint (Formerly Cisco AMP)
ESET Inspect
Harfanglab EDR
TrendMicro Apex One
x86_64-w64-mingw32-gcc EDRSilencer.c utils.c -o EDRSilencer.exe -lfwpuclnt
Usage: EDRSilencer.exe <blockedr/block/unblockall/unblock>
- Add WFP filters to block the IPv4 and IPv6 outbound traffic of all detected EDR processes:
EDRSilencer.exe blockedr
- Add WFP filters to block the IPv4 and IPv6 outbound traffic of a specific process (full path is required):
EDRSilencer.exe block "C:WindowsSystem32curl.exe"
- Remove all WFP filters applied by this tool:
EDRSilencer.exe unblockall
- Remove a specific WFP filter based on filter id:
EDRSilencer.exe unblock <filter id>
检测并阻止正在运行的 EDR 进程的出站流量
EDRSilencer.exe blockedr
https://github.com/netero1010/EDRSilencer
原文始发于微信公众号(Hack分享吧):EDRSilencer!禁止EDR出站流量工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论