Открытый исходный код и простая установка.
Компания Tier Zero Security объявила о выпуске блокировщика телеметрии EDR с открытым исходным кодом. Этот автономный инструмент предназначен для блокировки телеметрии EDR путем выполнения атаки «человек посередине» и фильтрации сетевого трафика.
Блокировщик EDR использует iptables для фильтрации сетевого трафика. Он определяет целевые IP-адреса на основе имен серверов, которые передаются в пакете TLS Client Hello, и списка заблокированных серверов, предоставленного в файле.
Для работы с инструментом необходимо выполнить несколько шагов. Сначала нужно клонировать репозиторий с GitHub и перейти в директорию проекта. Затем устанавливается виртуальная среда Python и необходимые зависимости, такие как Scapy. После этого активируется виртуальная среда, включается переадресация пакетов, и запускается сам блокировщик.
Пример команды для запуска:
<svg xmlns="Для просмотра ссылки Войдиили Зарегистрируйся" width="800" height="60" viewBox="0 0 800 60"> <style>.command { font: 16px monospace; fill: #333; }@keyframes fadeInOut { 0%, 100% { opacity: 0; } 10%, 90% { opacity: 1; }} </style> <text x="10" y="30" class="command"><tspan> python3 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="0s" repeatCount="indefinite"></animate></tspan><tspan x="10" dy="20"> edr_blocker.py <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="0.5s" repeatCount="indefinite"></animate></tspan><tspan x="140" dy="0"> -i eth0 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="1s" repeatCount="indefinite"></animate></tspan><tspan x="220" dy="0"> -f mde_block.txt <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="1.5s" repeatCount="indefinite"></animate></tspan><tspan x="380" dy="0"> -t 192.168.0.50 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="2s" repeatCount="indefinite"></animate></tspan><tspan x="540" dy="0"> -gw 192.168.0.1 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="2.5s" repeatCount="indefinite"></animate></tspan> </text> </svg>
Основные функции блокировщика включают возможность мониторинга заблокированных IP-адресов, добавление правил для iptables и очистку этих правил. Для пользователей доступны команды для проверки заблокированных IP-адресов и количества заблокированных пакетов, а также для добавления и удаления правил DROP для iptables.
Tier Zero Security отмечает, что предоставленные списки заблокированных серверов не являются исчерпывающими и могут потребовать доработки в зависимости от конкретной среды использования.
Более подробная информация и руководство по установке доступны на Для просмотра ссылки Войдиили Зарегистрируйся .
Компания Tier Zero Security объявила о выпуске блокировщика телеметрии EDR с открытым исходным кодом. Этот автономный инструмент предназначен для блокировки телеметрии EDR путем выполнения атаки «человек посередине» и фильтрации сетевого трафика.
Блокировщик EDR использует iptables для фильтрации сетевого трафика. Он определяет целевые IP-адреса на основе имен серверов, которые передаются в пакете TLS Client Hello, и списка заблокированных серверов, предоставленного в файле.
Для работы с инструментом необходимо выполнить несколько шагов. Сначала нужно клонировать репозиторий с GitHub и перейти в директорию проекта. Затем устанавливается виртуальная среда Python и необходимые зависимости, такие как Scapy. После этого активируется виртуальная среда, включается переадресация пакетов, и запускается сам блокировщик.
Пример команды для запуска:
<svg xmlns="Для просмотра ссылки Войди
Основные функции блокировщика включают возможность мониторинга заблокированных IP-адресов, добавление правил для iptables и очистку этих правил. Для пользователей доступны команды для проверки заблокированных IP-адресов и количества заблокированных пакетов, а также для добавления и удаления правил DROP для iptables.
Tier Zero Security отмечает, что предоставленные списки заблокированных серверов не являются исчерпывающими и могут потребовать доработки в зависимости от конкретной среды использования.
Более подробная информация и руководство по установке доступны на Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru