Компания Tier Zero Security объявила о выпуске блокировщика телеметрии EDR с открытым исходным кодом. Этот автономный инструмент предназначен для блокировки телеметрии EDR путем выполнения атаки “человек посередине” и фильтрации сетевого трафика.
Блокировщик EDR использует iptables для фильтрации сетевого трафика. Он определяет целевые IP-адреса на основе имен серверов, которые передаются в пакете TLS Client Hello, и списка заблокированных серверов, предоставленного в файле.
Для работы с инструментом необходимо выполнить несколько шагов. Сначала нужно клонировать репозиторий с GitHub и перейти в директорию проекта. Затем устанавливается виртуальная среда Python и необходимые зависимости, такие как Scapy. После этого активируется виртуальная среда, включается переадресация пакетов, и запускается сам блокировщик.
Пример команды для запуска:
python3 edr_blocker.py -i eth0 -f mde_block.txt -t 192.168.0.50 -gw 192.168.0.1
Основные функции блокировщика включают возможность мониторинга заблокированных IP-адресов, добавление правил для iptables и очистку этих правил. Для пользователей доступны команды для проверки заблокированных IP-адресов и количества заблокированных пакетов, а также для добавления и удаления правил DROP для iptables.
Tier Zero Security отмечает, что предоставленные списки заблокированных серверов не являются исчерпывающими и могут потребовать доработки в зависимости от конкретной среды использования.
Более подробная информация и руководство по установке доступны на Github .