BlockEDRTrafficは、エンドポイント検知および対応(EDR)エージェントがネットワークテレメトリを送信するのを防ぐ、Windows用の概念実証ツールのペアです。2つのアプローチをサポートしています。1つの実行ファイルは、Windows Defenderファイアウォールで受信および送信のブロックルールを作成します。もう1つは、Windows Filtering PlatformでアプリケーションごとのIPv4およびIPv6フィルターを作成します。
これには高い整合性とSeDebugPrivilegeが必要で、実行中のプロセスを列挙し、組み込みのブラックリストと照合して、対象となるものだけにネットワークブロックを適用します。ツールはセキュリティ製品を無効化したり改ざんしたりしません。フィルタリングルールを追加するだけで、作成したルールを削除するクリーンアップモードも含まれています。
防御側は通常、イベントログやカーネルフックに注目しますが、ネットワークテレメトリは依然として盲点です。BlockEDRTrafficは、AutoPwnKey(ユーザー操作のシミュレーションでAPIコールを回避)やBEOTM(EDRの挙動を模倣してバイパスをテスト)のようなツールと同様に、短時間のステルスウィンドウを作り出します。
特徴
リポジトリには現在、Microsoft Defender Antivirus、Microsoft Defender for Endpoint、Elastic EDRが対応ターゲットとして記載されており、プロセス定義がソースで公開されているため、オペレーターがブラックリストを拡張できます。
- 2つの回避経路。 Windows Defenderファイアウォールルールの作成、またはWindows Filtering Platformによるプロセス単位のブロック。
- 権限チェック。 実行前に昇格された整合性とSeDebugPrivilegeを確認。
- ターゲット検出。 ブラックリストとの照合のために完全なイメージパスを解決し、ブロック対象を表示。
- スコープ付きクリーンアップ。 ツールが作成したルールやフィルターのみを削除。
- 拡張可能なターゲット。 EDRプロセスリストはソースコード内にあり、簡単に更新可能。
インストール
リポジトリにはVisual Studioプロジェクトファイルが用意されています。Windows開発ホスト上でVisual Studio 2022を使ってビルドしてください。
|
<code>リポジトリをクローン: https://github.com/0xJs/BlockEDRTraffic BlockTraffic.sln を Visual Studio 2022で開く Release x64でビルドして、WindowsDefenderFirewall.exeとWindowsFilteringPlatform.exeを生成</code> |
EDRプロセスをメモリ上で操作するため、十分な権限のあるコンテキストで実行してください。
使い方
-eパラメータを使用して、すべてのEDRプロセスをブロックします:
|
PS C:\ > .\WindowsDefenderFirewall.exe 使い方: WindowsDefenderFirewall.exe –e / –d オプション: –e 有効化 – ブラックリスト化されたEDRプロセスをブロック –d 無効化 – このツールが作成したファイアウォールルールを削除 –h – このヘルプメッセージを表示 |
--edrパラメータを使ってすべてのEDRプロセスをブロックするか、-eパラメータで特定のプロセスをブロックします
|
PS C:\ > .\WindowsFilteringPlatform.exe 使い方: WindowsFilteringPlatform.exe –e / –d / —edr オプション: —edr – ブラックリスト化されたEDRプロセスの通信をブロック –e <PROCESS> – 指定したプロセスの通信をブロック –d – このツールが作成したファイアウォールルールを削除 –h – このヘルプメッセージを表示 |
攻撃シナリオ
レッドチーム演習中、オペレーターがフィッシングを通じてホストへアクセスします。BloodHoundクエリを実行し、ネイティブPowerShellでラテラルムーブメントを行う必要があります。
- WindowsDefenderFirewall.exe または WindowsFilteringPlatform.exe を実行し、EDRのネットワークコールを抑制。
- すぐに Invoke-BloodHound および PsMapExec を実行してユーザーセッションを列挙し、静かにピボット。
- 一定時間経過後、EDRのテレメトリが再開し、回避活動の痕跡は最小限に。
これにより、レッドチームは短いステルスウィンドウ中に積極的に移動しつつ、露出を最小限に抑えることができます。
レッドチームへの有用性
BlockEDRTrafficは、ペイロード難読化(例:Shell3r)とラテラルムーブメントツールの間の重要なニッチを埋めます。エンドポイントエージェントを置き換えるのではなく、しばらくの間サイレントにしてレーダーの下で活動できるようにします。
ホストベースの検知(例: Falco(コンテナ内のシステムコール挙動を監視)など)と組み合わせると、ネットワークテレメトリの信頼性の低さを攻撃者がどのように悪用できるかをBlockEDRTrafficは示しています。
まとめ
BlockEDRTrafficは、レッドチームに対し、ネイティブなWindows機能を活用して短時間EDRテレメトリをミュートする2つの信頼できる方法を提供します。プロセス単位のフィルタリングに特化し、クリーンアップ機能も備え、変更点は透明かつ監査可能です。単純なプロセス監視を超えて検知の深さを検証し、エージェントが静かになったことを防御側がどれだけ早く気付くかを測定するのに活用してください。
詳細やBlockEDRTrafficのダウンロードはこちら:https://github.com/0xJs/BlockEDRTraffic
読者とのやりとり
翻訳元: https://www.darknet.org.uk/2025/09/blockedrtraffic-edr-evasive-lateral-movement-tool/