如何使用EDRSilencer通過為特定進程添加WFP篩選器阻止EDR出站流量

關于EDRSilencer

EDRSilencer是一款專為紅隊研究人員設計的安全監測繞過工具，該工具基于Windows篩選平臺（WFP）實現其功能，可以有效地為特定進程添加WFP篩選器阻止EDR出站流量。

該工具受到了FireBlock項目的啟發，可以使用WFP API并阻止EDR代理向服務器端報告安全事件消息。

功能介紹

1、搜索已知正在運行的EDR進程，并添加WFP篩選器以屏蔽其出站流量；

2、為指定進程添加WFP篩選器；

3、移除該工具設置的所有WFP篩選器；

4、通過篩選器ID移除指定的WFP篩選器；

5、支持在C2中運行（通過內存中的PE執行模塊）；

6、其他EDR控制，當一個進程嘗試獲取EDR進程的文件句柄時可拒絕其訪問；

支持的EDR

當前版本的EDRSilencer支持下列EDR產品：

Microsoft Defender for Endpoint

Microsoft Defender Antivirus

Elastic EDR

Trellix EDR

Qualys EDR

SentinelOne

Cylance

Cybereason

Carbon Black EDR

Carbon Black Cloud

Tanium

Palo Alto Networks Traps/Cortex XDR

FortiEDR

Cisco Secure Endpoint (Formerly Cisco AMP)

ESET Inspect

Harfanglab EDR

TrendMicro Apex One

測試環境

Windows 10

Windows Server 2016

工具下載

廣大研究人員可以直接使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/netero1010/EDRSilencer.git

代碼編譯

切換到項目目錄中，使用下列命令即可完成工具代碼的編譯：

cd EDRSilencer

x86_64-w64-mingw32-gcc EDRSilencer.c utils.c -o EDRSilencer.exe -lfwpuclnt

工具使用

EDRSilencer.exe <blockedr/block/unblockall/unblock>

工具使用樣例

為所有檢測到的EDR添加WFP篩選器以屏蔽IPv4和IPv6出站流量：

EDRSilencer.exe blockedr

為指定進程（需要提供進程完整路徑）添加WFP篩選器以屏蔽IPv4和IPv6出站流量：

EDRSilencer.exe block "C:\Windows\System32\curl.exe"

移除該工具設置的全部WFP篩選器：

EDRSilencer.exe unblockall

通過篩選器IP移除一個指定的WFP篩選器：

EDRSilencer.exe unblock <filter id>

工具運行截圖

許可證協議

本項目的開發與發布遵循MIT開源許可證協議。

項目地址

EDRSilencer：【GitHub傳送門】

參考資料

https://www.mdsec.co.uk/2023/09/nighthawk-0-2-6-three-wise-monkeys/