简单介绍:
该工具利用 Windows 本身的筛选平台 (WFP) 阻止EDR入侵检测和响应出站流量,使其不会向服务器报告安全事件,达到绕过的效果。
受 MdSec NightHawk 的闭源 FireBlock 工具 FireBlock 的启发,创建此工具的目的是使用 Windows 筛选平台 (WFP) API 阻止正在运行 EDR 进程的出站流量。
工具提供以下功能:
- 搜索已知正在运行的 EDR 进程,并添加 WFP 筛选器以阻止其出站流量
- 为特定进程添加 WFP 筛选器
- 删除此工具创建的所有 WFP 筛选器
- 按筛选器 ID 删除特定 WFP 筛选器
- 支持在 C2 中运行,带有内存 PE 执行模块(例如
BruteRatel's memexec)
目前支持的EDR列表:
- Microsoft Defender for Endpoint and Microsoft Defender Antivirus
- Elastic EDR
- Trellix EDR
- Qualys EDR
- SentinelOne
- Cylance
- Cybereason
- Carbon Black EDR
- Carbon Black Cloud
- Tanium
- Palo Alto Networks Traps/Cortex XDR
- FortiEDR
- Cisco Secure Endpoint (Formerly Cisco AMP)
获取工具
https://github.com/P001water/yuze
原文始发于微信公众号(白帽学子):禁止EDR出站流量工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论