Открытый исходный код и простая установка.
Компания Tier Zero Security объявила о выпуске блокировщика телеметрии EDR с открытым исходным кодом. Этот автономный инструмент предназначен для блокировки телеметрии EDR путем выполнения атаки «человек посередине» и фильтрации сетевого трафика.
Блокировщик EDR использует iptables для фильтрации сетевого трафика. Он определяет целевые IP-адреса на основе имен серверов, которые передаются в пакете TLS Client Hello, и списка заблокированных серверов, предоставленного в файле.
Для работы с инструментом необходимо выполнить несколько шагов. Сначала нужно клонировать репозиторий с GitHub и перейти в директорию проекта. Затем устанавливается виртуальная среда Python и необходимые зависимости, такие как Scapy. После этого активируется виртуальная среда, включается переадресация пакетов, и запускается сам блокировщик.
Пример команды для запуска:
Основные функции блокировщика включают возможность мониторинга заблокированных IP-адресов, добавление правил для iptables и очистку этих правил. Для пользователей доступны команды для проверки заблокированных IP-адресов и количества заблокированных пакетов, а также для добавления и удаления правил DROP для iptables.
Tier Zero Security отмечает, что предоставленные списки заблокированных серверов не являются исчерпывающими и могут потребовать доработки в зависимости от конкретной среды использования.
Более подробная информация и руководство по установке доступны на Github .
Наш канал — питательная среда для вашего интеллекта