EDR トラフィックのブロック
Windows Defender ファイアウォール (WDF) または Windows Filtering Platform (WFP) を使用して、ブラックリストに登録された EDR プロセスのネットワークトラフィックをブロックする、C で書かれた 2 つのツール。
概要
- WindowsDefenderFirewall.exe
- ブラックリストに登録された EDR プロセスに対して、Windows Defender ファイアウォールに 受信 および 送信 のブロックルールを作成します。
- WindowsFilteringPlatform.exe
- ブラックリストに登録された EDR プロセスのトラフィックをブロックする WFP のフィルターを作成します。実行ファイルの ID を取得するためのカスタム AppID 解決ルーチンを含みます。
- 両方のツールは以下を行います:
- プロセスが高い整合性レベル (High Integrity) で実行されており、かつ SeDebugPrivilege が有効であることを検証します。
- 実行中のプロセスを列挙し、それらをブラックリストと照合します。
- これらの PoC によって作成されたルール/フィルターのみを削除するクリーンアップモードをサポートします。
- これらのツールはセキュリティ製品を無効化したり改ざんしたりするものではなく、対象とする実行ファイルを参照するネットワークブロックのルール/フィルターを作成するだけです。
動作概要(ハイレベル)
- 特権チェック: プロセス列挙および ファイアウォール/WFP の設定を行うために、昇格された整合性レベルと SeDebugPrivilege を確認します。
- プロセス探索: 実行中のプロセスを列挙し、ブラックリストとの照合のために完全なイメージパスを解決します。
- ブロック:
- WDF: Windows ファイアウォールの COM API を介して、アプリごとの受信/送信ブロックルールを追加します。
- WFP: WFP エンジンを介して、アプリごとの IPv4/IPv6 ブロックフィルターを追加します。
対応している EDR
現在サポートされている EDR とそのプロセスは次のとおりです:
- Microsoft Defender Antivirus
- Microsoft Defender for Endpoint
- Elastic EDR
- BitDefender
- Cortex
- CrowdStrike
- Sentinel
- Sophos
ダウンロード & 使い方
ソース: meterpreter.org
