EDRSilencer!禁止EDR出站流量工具

admin
admin
admin
102755
文章
87
评论
2024年2月2日19:54:05评论24 views字数 1536阅读5分7秒阅读模式

工具介绍

工具使用Windows筛选平台 (WFP) 来阻止端点检测和响应 (EDR) 代理向服务器报告安全事件。
受到MdSec NightHawk的闭源FireBlock工具FireBlock的启发,我决定创建自己的版本,创建该工具的目的是阻止使用Windows过滤平台 (WFP) API运行EDR进程的出站流量。
https://www.mdsec.co.uk/2023/09/nighthawk-0-2-6-three-wise-monkeys/

工具提供以下功能:

搜索已知正在运行的EDR进程并添加WFP过滤器以阻止其出站流量为特定进程添加WFP过滤器删除此工具创建的所有WFP过滤器按过滤器ID删除特定的WFP过滤器支持使用内存中的PE执行模块在C2中运行(例如,BruteRatel's memexec)当进程试图获取其EDR进程的文件句柄(例如,通过CreateFileW)时,某些EDR控件(例如,microfilters)拒绝访问。然而,用于获取目标EDR进程的FWP应用程序id的FwpmGetAppIdFromFileName0 API在内部调用CreateFileW。为了避免这种情况,实现了自定义FwpmGetAppIdFromFileName0,以在不调用CreateFileW的情况下构造应用程序id,从而防止在向EDR进程添加WFP筛选器时出现意外故障
目前支持的EDR列表:
Microsoft Defender for Endpoint and Microsoft Defender AntivirusElastic EDRTrellix EDRQualys EDRSentinelOneCylanceCybereasonCarbon Black EDRCarbon Black CloudTaniumPalo Alto Networks Traps/Cortex XDRFortiEDRCisco Secure Endpoint (Formerly Cisco AMP)ESET InspectHarfanglab EDRTrendMicro Apex One
工具使用

在Windows 10和Windows Server 2016中测试,先执行以下命令编译该程序。
x86_64-w64-mingw32-gcc EDRSilencer.c utils.c -o EDRSilencer.exe -lfwpuclnt
Usage: EDRSilencer.exe <blockedr/block/unblockall/unblock>- Add WFP filters to block the IPv4 and IPv6 outbound traffic of all detected EDR processes:  EDRSilencer.exe blockedr- Add WFP filters to block the IPv4 and IPv6 outbound traffic of a specific process (full path is required):  EDRSilencer.exe block "C:WindowsSystem32curl.exe"- Remove all WFP filters applied by this tool:  EDRSilencer.exe unblockall- Remove a specific WFP filter based on filter id:  EDRSilencer.exe unblock <filter id>

检测并阻止正在运行的 EDR 进程的出站流量

EDRSilencer.exe blockedr

EDRSilencer!禁止EDR出站流量工具

下载地址

https://github.com/netero1010/EDRSilencer

原文始发于微信公众号(Hack分享吧):EDRSilencer!禁止EDR出站流量工具

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月2日19:54:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   EDRSilencer!禁止EDR出站流量工具https://cn-sec.com/archives/2461316.html

发表评论

匿名网友 填写信息