如何使用EDRSilencer通过为特定进程添加WFP筛选器阻止EDR出站流量

VSole2024-02-02 10:00:05

关于EDRSilencer


EDRSilencer是一款专为红队研究人员设计的安全监测绕过工具,该工具基于Windows筛选平台(WFP)实现其功能,可以有效地为特定进程添加WFP筛选器阻止EDR出站流量。


该工具受到了FireBlock项目的启发,可以使用WFP API并阻止EDR代理向服务器端报告安全事件消息。



功能介绍


1、搜索已知正在运行的EDR进程,并添加WFP筛选器以屏蔽其出站流量;
2、为指定进程添加WFP筛选器;
3、移除该工具设置的所有WFP筛选器;
4、通过筛选器ID移除指定的WFP筛选器;
5、支持在C2中运行(通过内存中的PE执行模块);
6、其他EDR控制,当一个进程尝试获取EDR进程的文件句柄时可拒绝其访问;


支持的EDR


当前版本的EDRSilencer支持下列EDR产品:


Microsoft Defender for Endpoint
Microsoft Defender Antivirus
Elastic EDR
Trellix EDR
Qualys EDR
SentinelOne
Cylance
Cybereason
Carbon Black EDR
Carbon Black Cloud
Tanium
Palo Alto Networks Traps/Cortex XDR
FortiEDR
Cisco Secure Endpoint (Formerly Cisco AMP)
ESET Inspect
Harfanglab EDR
TrendMicro Apex One


测试环境


Windows 10
Windows Server 2016


工具下载


广大研究人员可以直接使用下列命令将该项目源码克隆至本地:


git clone https://github.com/netero1010/EDRSilencer.git


代码编译


切换到项目目录中,使用下列命令即可完成工具代码的编译:


cd EDRSilencer

x86_64-w64-mingw32-gcc EDRSilencer.c utils.c -o EDRSilencer.exe -lfwpuclnt


工具使用


EDRSilencer.exe <blockedr/block/unblockall/unblock>


工具使用样例


为所有检测到的EDR添加WFP筛选器以屏蔽IPv4和IPv6出站流量:


EDRSilencer.exe blockedr


为指定进程(需要提供进程完整路径)添加WFP筛选器以屏蔽IPv4和IPv6出站流量:


EDRSilencer.exe block "C:\Windows\System32\curl.exe"


移除该工具设置的全部WFP筛选器:


EDRSilencer.exe unblockall


通过筛选器IP移除一个指定的WFP筛选器:


EDRSilencer.exe unblock <filter id>


工具运行截图



许可证协议


本项目的开发与发布遵循MIT开源许可证协议。


项目地址


EDRSilencer:【GitHub传送门


参考资料


https://www.mdsec.co.uk/2023/09/nighthawk-0-2-6-three-wise-monkeys/


科技新闻流量
本作品采用《CC 协议》,转载必须注明作者和本文链接
2020年2月,亚马逊AWS经历了有史以来最大的DDoS攻击,峰值流量高达2.3Tbps,超过了2018年3月所记载的1.7Tbps攻击。2022年2月起,俄乌冲突加剧,没有硝烟的网络空间成为新的作战场域,DDoS攻击造成众多关键基础设施和网络系统瘫痪,严重影响社会秩序。2022年7月,巴西大选期间,境内多个政府网站、网络运营商、教育机构、新闻门户遭遇目的性强且持续性DDoS攻击。
公安部公布整治“网络水军”10起典型案例,要求互联网平台切实落实主体责任。依法严厉打击“网络水军”舆情敲诈相关违法犯罪。受“网络水军”非法侵害的单位和个人要及时报案,公安机关将坚决依法查处。目前,刘某某已被属地公安机关抓获并依法采取刑事强制措施。目前,属地公安机关已将该“网络水军”团伙6名犯罪嫌疑人抓获归案,涉案金额400余万元。
甘肃公安侦破首例利用AI人工智能技术炮制虚假信息案!经查,涉案百度账号均为广东深圳某自媒体公司所有,公司法人代表洪某弟有重大作案嫌疑。5月5日,专案民警在广东东莞嫌疑人住处对其使用的电脑及百家号进行取证。洪某弟利用现代科技手段编造虚假信息,并散布在互联网上,被大量传播浏览,其行为已涉嫌寻衅滋事罪。目前,崆峒公安分局对犯罪嫌疑人洪某弟采取刑事强制措施,案件正在进一步侦办之中。
4月底,北京新一波疫情爆发,作为疫情防控主要工具的北京健康宝,迎来使用高峰,也就是在这个时候,北京健康宝受到境外网络攻击。也是4月份,“国防七子”之一西北工业大学,也遭受境外黑客攻击,黑客攻击目标非常明确,通过植入木马病毒程序,企图窃取相关师生邮件数据和个人信息,其目的可能是校内研究机密。西北工业大学是被美国反制的13所大学之一。
国务院新闻办公室1月20日举行新闻发布会,介绍2021年工业和信息化发展情况。发布会由国务院新闻办新闻局局长、新闻发言人陈文俊主持。三是新兴产业保持了较快发展,高技术制造业、装备制造业的带动作用增强,发展较快。行业监管创新拓展,取得了实效。两地三赛区所有的场馆目前已经实现了5G的全覆盖,为赛事云转播、智慧冬奥提供了有力支撑和保障。
在旧金山的“新硅谷”SOMA 区,通往海湾大桥的高速公路旁,伫立着一块鸭子广告牌,上面写着:“谷歌在追踪你。我们不会。”说这话的鸭子来自 DuckDuckGo,一家主打隐私保护的搜索引擎公司。在美国,DuckDuckGo 有 2245 块广告牌,在欧洲是 2261 块。这对于一家科技公司来说并不寻常。
在全党全国上下掀起学习宣传贯彻党的十九届六中全会精神热潮中,由中央网信办、中央广播电视总台、广东省委网信委联合主办,以“发展与秩序·让大流量澎湃正能量”为主题的2021中国网络媒体论坛将于11月24日至25日在广东省广州市举行。
国际黑客组织公布台湾金融机构、台湾核电平台源代码
海底电缆公司Subcom正成为美国科技战的重要支撑方
VSole
网络安全专家