SilentButDeadly:一款可阻断EDR/AV网络通信的新型工具
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
安全研究人员Ryan Framiñán开发了开源工具SilentButDeadly,通过切断EDR和杀毒软件的网络通信来干扰其运行。该工具利用Windows过滤平台创建临时网络阻断规则,适用于红队演练和恶意软件分析,确保不留下持久性痕迹,降低取证风险。
🎯
关键要点
- 安全研究人员Ryan Framiñán开发了开源工具SilentButDeadly,旨在干扰EDR和杀毒软件的运行。
- 该工具通过Windows过滤平台创建临时网络阻断规则,适用于红队演练和恶意软件分析。
- SilentButDeadly基于EDRSilencer技术,切断出站数据上传和入站命令接收,增强操作安全性。
- 执行流程包括权限验证、核心发现、网络阻断和服务干扰四个阶段。
- 支持的目标包括SentinelOne、Windows Defender和Defender ATP,提供多种命令行选项。
- 检测风险包括WFP事件日志和服务修改,建议防御方监控WFP变更。
- 该工具已在GitHub上发布,引发了关于EDR依赖性的讨论,强调构建不过度依赖持续连接的架构的必要性。
❓
延伸问答
SilentButDeadly工具的主要功能是什么?
SilentButDeadly工具通过切断EDR和杀毒软件的网络通信来干扰其运行,确保不留下持久性痕迹。
SilentButDeadly是如何实现网络阻断的?
该工具利用Windows过滤平台创建临时的双向网络阻断规则,阻止出站数据上传和入站命令接收。
SilentButDeadly适用于哪些目标?
该工具支持的目标包括SentinelOne、Windows Defender和Defender ATP。
SilentButDeadly的执行流程包括哪些阶段?
执行流程包括权限验证、核心发现、网络阻断和服务干扰四个阶段。
使用SilentButDeadly工具时需要注意哪些检测风险?
检测风险包括WFP事件日志和服务修改,建议防御方监控WFP变更。
SilentButDeadly工具的开发者是谁?
该工具由安全研究人员Ryan Framiñán开发。
🏷️
标签
➡️
