Forwarded from Заметки Хакер
🖥 Репозиторий: EDRSilencer — Инструмент для изучения механизмов обхода телеметрии EDR-систем.
EDRSilencer — это концептуальная утилита, которая демонстрирует, как легитимные встроенные механизмы Windows могут быть использованы для блокировки исходящего трафика защитных агентов.
В основе работы инструмента лежит использование встроенной платформы фильтрации Windows (Windows Filtering Platform, WFP).
— Вместо того чтобы пытаться завершить защищенные процессы EDR (что мгновенно вызывает тревогу), утилита программно создает правила брандмауэра WFP, которые перехватывают и блокируют сетевые пакеты, отправляемые конкретными процессами (такими как агенты CrowdStrike, Defender, SentinelOne) в облако управления. В результате система защиты «слепнет», не имея возможности сообщить об инциденте.
⏺ Ссылка на GitHub (https://github.com/netero1010/EDRSilencer)
#EDR #Evasion #WFP #Windows #Defense #BlueTeam #Detection |
@hackernews_lib
EDRSilencer — это концептуальная утилита, которая демонстрирует, как легитимные встроенные механизмы Windows могут быть использованы для блокировки исходящего трафика защитных агентов.
В основе работы инструмента лежит использование встроенной платформы фильтрации Windows (Windows Filtering Platform, WFP).
— Вместо того чтобы пытаться завершить защищенные процессы EDR (что мгновенно вызывает тревогу), утилита программно создает правила брандмауэра WFP, которые перехватывают и блокируют сетевые пакеты, отправляемые конкретными процессами (такими как агенты CrowdStrike, Defender, SentinelOne) в облако управления. В результате система защиты «слепнет», не имея возможности сообщить об инциденте.
⏺ Ссылка на GitHub (https://github.com/netero1010/EDRSilencer)
#EDR #Evasion #WFP #Windows #Defense #BlueTeam #Detection |
@hackernews_lib