S.E.Заметка. EDRHunt и методы обхода AV.

 Приветствую тебя user_name.

• EDRHunt — тулза которая сканирует и идентифицирует установленные EDR и AV на хостах с #Windows, путем анализа служб, драйверов, запущенных процессов и ключей реестра. Сканирование системы в поисках информации, выполняются с помощью WMI-запросов через COM и собственные API для перечисления установленных драйверов. Обнаружение EDR на данный момент доступно:

• Windows Defender;
• Kaspersky Security;
• Symantec Security;
• Crowdstrike Security;
• McAfee Security;
• Cylance Security;
• Carbon Black;
• SentinelOne;
• FireEye;
• Elastic EDR.

• Более подробное описание есть в статье от разработчика: https://www.fourcore.vision/blogs/Red-Team-Adventure:-Digging-into-Windows-Endpoints-for-EDRs-and-profit-cUf

• Репозиторий: https://github.com/FourCoreLabs/EDRHunt

В дополнение:

• Тулза, автоматизирующая работу с mpcmdrun.exe (Windows Defender), разбивает файл на куски и скармливает дефендеру для выявления конкретного куска, который палится (по статическим сигнатурам): https://github.com/t3hbb/DefenderCheck/. Ссылку нашел у @OrderOfSixAngles.

?? Полезно для #Red_Team и #Blue_team. Твой S.E. #Заметка