如何使用EDRSilencer通过为特定进程添加WFP筛选器阻止EDR出站流量
VSole2024-02-02 10:00:05
关于EDRSilencer
EDRSilencer是一款专为红队研究人员设计的安全监测绕过工具,该工具基于Windows筛选平台(WFP)实现其功能,可以有效地为特定进程添加WFP筛选器阻止EDR出站流量。
该工具受到了FireBlock项目的启发,可以使用WFP API并阻止EDR代理向服务器端报告安全事件消息。
功能介绍
1、搜索已知正在运行的EDR进程,并添加WFP筛选器以屏蔽其出站流量;
2、为指定进程添加WFP筛选器;
3、移除该工具设置的所有WFP筛选器;
4、通过筛选器ID移除指定的WFP筛选器;
5、支持在C2中运行(通过内存中的PE执行模块);
6、其他EDR控制,当一个进程尝试获取EDR进程的文件句柄时可拒绝其访问;
支持的EDR
当前版本的EDRSilencer支持下列EDR产品:
Microsoft Defender for Endpoint
Microsoft Defender Antivirus
Elastic EDR
Trellix EDR
Qualys EDR
SentinelOne
Cylance
Cybereason
Carbon Black EDR
Carbon Black Cloud
Tanium
Palo Alto Networks Traps/Cortex XDR
FortiEDR
Cisco Secure Endpoint (Formerly Cisco AMP)
ESET Inspect
Harfanglab EDR
TrendMicro Apex One
测试环境
Windows 10
Windows Server 2016
工具下载
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/netero1010/EDRSilencer.git
代码编译
切换到项目目录中,使用下列命令即可完成工具代码的编译:
cd EDRSilencer x86_64-w64-mingw32-gcc EDRSilencer.c utils.c -o EDRSilencer.exe -lfwpuclnt
工具使用
EDRSilencer.exe <blockedr/block/unblockall/unblock>
工具使用样例
为所有检测到的EDR添加WFP筛选器以屏蔽IPv4和IPv6出站流量:
EDRSilencer.exe blockedr
为指定进程(需要提供进程完整路径)添加WFP筛选器以屏蔽IPv4和IPv6出站流量:
EDRSilencer.exe block "C:\Windows\System32\curl.exe"
移除该工具设置的全部WFP筛选器:
EDRSilencer.exe unblockall
通过筛选器IP移除一个指定的WFP筛选器:
EDRSilencer.exe unblock <filter id>
工具运行截图
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。
项目地址
EDRSilencer:【GitHub传送门】
参考资料
https://www.mdsec.co.uk/2023/09/nighthawk-0-2-6-three-wise-monkeys/
VSole
网络安全专家