关于EDRSilencer


EDRSilencer是一款专为红队研究人员设计的安全监测绕过工具,该工具基于Windows筛选平台(WFP)实现其功能,可以有效地为特定进程添加WFP筛选器阻止EDR出站流量。


该工具受到了FireBlock项目的启发,可以使用WFP API并阻止EDR代理向服务器端报告安全事件消息。



功能介绍


1、搜索已知正在运行的EDR进程,并添加WFP筛选器以屏蔽其出站流量;
2、为指定进程添加WFP筛选器;
3、移除该工具设置的所有WFP筛选器;
4、通过筛选器ID移除指定的WFP筛选器;
5、支持在C2中运行(通过内存中的PE执行模块);
6、其他EDR控制,当一个进程尝试获取EDR进程的文件句柄时可拒绝其访问;


支持的EDR


当前版本的EDRSilencer支持下列EDR产品:


Microsoft Defender for Endpoint
Microsoft Defender Antivirus
Elastic EDR
Trellix EDR
Qualys EDR
SentinelOne
Cylance
Cybereason
Carbon Black EDR
Carbon Black Cloud
Tanium
Palo Alto Networks Traps/Cortex XDR
FortiEDR
Cisco Secure Endpoint (Formerly Cisco AMP)
ESET Inspect
Harfanglab EDR
TrendMicro Apex One


测试环境


Windows 10
Windows Server 2016


工具下载


广大研究人员可以直接使用下列命令将该项目源码克隆至本地:


git clone https://github.com/netero1010/EDRSilencer.git


代码编译


切换到项目目录中,使用下列命令即可完成工具代码的编译:


cd EDRSilencer

x86_64-w64-mingw32-gcc EDRSilencer.c utils.c -o EDRSilencer.exe -lfwpuclnt


工具使用


EDRSilencer.exe <blockedr/block/unblockall/unblock>


工具使用样例


为所有检测到的EDR添加WFP筛选器以屏蔽IPv4和IPv6出站流量:


EDRSilencer.exe blockedr


为指定进程(需要提供进程完整路径)添加WFP筛选器以屏蔽IPv4和IPv6出站流量:


EDRSilencer.exe block "C:\Windows\System32\curl.exe"


移除该工具设置的全部WFP筛选器:


EDRSilencer.exe unblockall


通过筛选器IP移除一个指定的WFP筛选器:


EDRSilencer.exe unblock <filter id>


工具运行截图



许可证协议


本项目的开发与发布遵循MIT开源许可证协议。


项目地址


EDRSilencer:【GitHub传送门


参考资料


https://www.mdsec.co.uk/2023/09/nighthawk-0-2-6-three-wise-monkeys/