Новости Стань невидимым для EDR: новый блокировщик от Tier Zero Security

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Открытый исходный код и простая установка.


n97dzoiwkcmrpl7iyq3uud9p4md6njri.jpg


Компания Tier Zero Security объявила о выпуске блокировщика телеметрии EDR с открытым исходным кодом. Этот автономный инструмент предназначен для блокировки телеметрии EDR путем выполнения атаки «человек посередине» и фильтрации сетевого трафика.

Блокировщик EDR использует iptables для фильтрации сетевого трафика. Он определяет целевые IP-адреса на основе имен серверов, которые передаются в пакете TLS Client Hello, и списка заблокированных серверов, предоставленного в файле.

Для работы с инструментом необходимо выполнить несколько шагов. Сначала нужно клонировать репозиторий с GitHub и перейти в директорию проекта. Затем устанавливается виртуальная среда Python и необходимые зависимости, такие как Scapy. После этого активируется виртуальная среда, включается переадресация пакетов, и запускается сам блокировщик.

Пример команды для запуска:

<svg xmlns="Для просмотра ссылки Войди или Зарегистрируйся" width="800" height="60" viewBox="0 0 800 60"> <style>.command { font: 16px monospace; fill: #333; }@keyframes fadeInOut { 0%, 100% { opacity: 0; } 10%, 90% { opacity: 1; }} </style> <text x="10" y="30" class="command"><tspan> python3 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="0s" repeatCount="indefinite"></animate></tspan><tspan x="10" dy="20"> edr_blocker.py <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="0.5s" repeatCount="indefinite"></animate></tspan><tspan x="140" dy="0"> -i eth0 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="1s" repeatCount="indefinite"></animate></tspan><tspan x="220" dy="0"> -f mde_block.txt <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="1.5s" repeatCount="indefinite"></animate></tspan><tspan x="380" dy="0"> -t 192.168.0.50 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="2s" repeatCount="indefinite"></animate></tspan><tspan x="540" dy="0"> -gw 192.168.0.1 <animate attributeName="opacity" values="0;1;1;0" dur="4s" begin="2.5s" repeatCount="indefinite"></animate></tspan> </text> </svg>

Основные функции блокировщика включают возможность мониторинга заблокированных IP-адресов, добавление правил для iptables и очистку этих правил. Для пользователей доступны команды для проверки заблокированных IP-адресов и количества заблокированных пакетов, а также для добавления и удаления правил DROP для iptables.

Tier Zero Security отмечает, что предоставленные списки заблокированных серверов не являются исчерпывающими и могут потребовать доработки в зависимости от конкретной среды использования.

Более подробная информация и руководство по установке доступны на Для просмотра ссылки Войди или Зарегистрируйся .
 
Источник новости
www.securitylab.ru

Похожие темы