Стань невидимым для EDR: новый блокировщик от Tier Zero Security

Компания Tier Zero Security объявила о выпуске блокировщика телеметрии EDR с открытым исходным кодом. Этот автономный инструмент предназначен для блокировки телеметрии EDR путем выполнения атаки “человек посередине” и фильтрации сетевого трафика.

Блокировщик EDR использует iptables для фильтрации сетевого трафика. Он определяет целевые IP-адреса на основе имен серверов, которые передаются в пакете TLS Client Hello, и списка заблокированных серверов, предоставленного в файле.

Для работы с инструментом необходимо выполнить несколько шагов. Сначала нужно клонировать репозиторий с GitHub и перейти в директорию проекта. Затем устанавливается виртуальная среда Python и необходимые зависимости, такие как Scapy. После этого активируется виртуальная среда, включается переадресация пакетов, и запускается сам блокировщик.

Пример команды для запуска:

python3 edr_blocker.py -i eth0 -f mde_block.txt -t 192.168.0.50 -gw 192.168.0.1

Основные функции блокировщика включают возможность мониторинга заблокированных IP-адресов, добавление правил для iptables и очистку этих правил. Для пользователей доступны команды для проверки заблокированных IP-адресов и количества заблокированных пакетов, а также для добавления и удаления правил DROP для iptables.

Tier Zero Security отмечает, что предоставленные списки заблокированных серверов не являются исчерпывающими и могут потребовать доработки в зависимости от конкретной среды использования.

Более подробная информация и руководство по установке доступны на Github .

Public Release.