红队应急响应指纹识别

luozhenni

原文链接：红队应急响应指纹识别雾晓安全TEAM

红队应急响应指纹识别       

0x00 EDRHunt
前言       
由于Windows市场上提供了大量端点检测和响应系统(EDR)和防病毒解决方案，因此在红队操作期间，迫切需要在目标端点上对这些已安装的解决方案进行指纹识别。事实证明，这些信息对于定制自定义漏洞利用和攻击技术以成功渗透和对目标进行操作至关重要。EDRHunt是一个实用程序，可通过查询服务、驱动程序、运行进程和注册表项来扫描和识别Windows端点上已安装的EDR和AV。
0x01 EDRHunt
介绍EDRHunt扫描Windows服务、驱动程序、进程、注册表以查找已安装的EDR（端点检测和响应）

0x02 EDRHunt检测

目前可用的 EDR 检测

    Windows Defender

    卡巴斯基安全

    赛门铁克安全

    Crowdstrike Security

    迈克菲安全

    Cylance安全

    Carbon Black

    SentinelOne

    火眼

0x03 EDRHunt安装

    二进制

        从发布部分下载最新版本，发行版是为windows/amd64构建。

    GO

        需要在系统上安装Go。在Go1.17+上测试

1. go install github.com/FourCoreLabs/EDRHunt/cmd/EDRHunt@master

复制代码

0x04 EDRHunt使用

    查找已安装的EDR

1. $ .\EDRHunt.exe scan
   
2. [EDR]
   
3. Detected EDR: Windows Defender
   
4. Detected EDR: Kaspersky Security

复制代码

  扫描一切

1. $ .\EDRHunt.exe all
   
2. Running in user mode, escalate to admin for more details.
   
3. Scanning processes, services, drivers, and registry...
   
4. [PROCESSES]
   
5. Suspicious Process Name: MsMpEng.exe
   
6. Description: MsMpEng.exe
   
7. Caption: MsMpEng.exe
   
8. Binary:
   
9. ProcessID: 6764
   
10. Parent Process: 1148
    
11. Process CmdLine :
    
12. File Metadata:
    
13. Matched Keyword: [msmpeng]
    
14. Suspicious Process Name: NisSrv.exe
    
15. Description: NisSrv.exe
    
16. Caption: NisSrv.exe
    
17. Binary:
    
18. ProcessID: 9840
    
19. Parent Process: 1148
    
20. Process CmdLine :
    
21. File Metadata:
    
22. Matched Keyword: [nissrv]
    
23. ...

复制代码

    查找匹配EDR关键字的驱动程序

更进一步，我们还可以扫描已安装的驱动程序及其驱动程序元数据，以识别由防病毒解决方案安装的驱动程序以执行./EDRHunt.exe -d此外，我们还可以识别各种重要的关键字，包括defender和antimalware，这表示系统上正在运行WindowsDefender。

1. $ .\EDRHunt.exe -p
   
2.     __________  ____     __  ____  ___   ________
   
3.    / ____/ __ \/ __ \   / / / / / / / | / /_  __/
   
4.   / __/ / / / / /_/ /  / /_/ / / / /  |/ / / /
   
5. / /___/ /_/ / _, _/  / __  / /_/ / /|  / / /
   
6. /_____/_____/_/ |_|  /_/ /_/\____/_/ |_/ /_/</p>
   
7. FourCore Labs (https://fourcore.vision) | Version: 1.0
   
8. Running in user mode, escalate to admin for more details.
   
9. [PROCESSES]
   
10. Suspicious Process Name: MsMpEng.exe
    
11. ...
    
12. Matched Keyword: [msmpeng]
    
13. Suspicious Process Name: NisSrv.exe
    
14. ...
    
15. Matched Keyword: [nissrv]
    
16. Suspicious Process Name: SecurityHealthService.exe
    
17. Description: SecurityHealthService.exe
    
18. ...
    
19. Matched Keyword: [securityhealthservice]
    
20. ...
    

复制代码

    查找匹配EDR关键字的服务

可以识别重要的关键字，包括securityhealthservice, m

spmeng，这意味着系统上正在运行Windows Defender服务。

1. $ .\EDRHunt.exe -s
   
2.     __________  ____     __  ____  ___   ________     
   
3.    / ____/ __ \/ __ \   / / / / / / / | / /_  __/     
   
4.   / __/ / / / / /_/ /  / /_/ / / / /  |/ / / /        
   
5. / /___/ /_/ / _, _/  / __  / /_/ / /|  / / /
   
6. /_____/_____/_/ |_|  /_/ /_/\____/_/ |_/ /_/
   
7. FourCore Labs (https://fourcore.vision) | Version: 1.0</p>
   
8. Running in user mode, escalate to admin for more details.
   
9. [SERVICES]
   
10. ...
    
11. Suspicious Service Name: SecurityHealthService
    
12. Display Name: Windows Security Service
    
13. ...
    
14. Matched Keyword: [securityhealthservice]
    
15. Suspicious Service Name: Sense
    
16. Display Name: Windows Defender Advanced Threat Protection Service
    
17. ...
    
18. Matched Keyword: [defender threat]
    
19. Suspicious Service Name: WdNisSvc
    
20. Display Name: Microsoft Defender Antivirus Network Inspection Service
    
21. ...
    
22. Matched Keyword: [antivirus defender nissrv]
    
23. Suspicious Service Name: WinDefend
    
24. Display Name: Microsoft Defender Antivirus Service
    
25. ...
    
26. Matched Keyword: [antimalware antivirus defender malware msmpeng]
    
27. ...

复制代码

    查找匹配EDR关键字的驱动程序

更进一步，我们还可以扫描已安装的驱动程序及其驱动程序元数据，以识别由防病毒解决方案安装的驱动程序以执行./EDRHunt.exe -d此外，我们还可以识别各种重要的关键字，包括defender和antimalware，这表示系统上正在运行Windows Defender。

1. $ .\EDRHunt.exe -d
   
2.     __________  ____     __  ____  ___   ________
   
3.    / ____/ __ \/ __ \   / / / / / / / | / /_  __/
   
4.   / __/ / / / / /_/ /  / /_/ / / / /  |/ / / /
   
5. / /___/ /_/ / _, _/  / __  / /_/ / /|  / / /
   
6. /_____/_____/_/ |_|  /_/ /_/\____/_/ |_/ /_/
   
7. FourCore Labs (https://fourcore.vision) | Version: 1.0
   
8. Running in user mode, escalate to admin for more details.
   
9. [DRIVERS]
   
10. Suspicious Driver Module: WdFilter.sys
    
11. Driver FilePath: c:\windows\system32\drivers\wd\wdfilter.sys
    
12. Driver File Metadata:
    
13.         ProductName: Microsoft® Windows® Operating System
    
14.         OriginalFileName: WdFilter.sys
    
15.         InternalFileName: WdFilter
    
16.         Company Name: Microsoft Corporation
    
17.         FileDescription: Microsoft antimalware file system filter driver
    
18.         ProductVersion: 4.18.2109.6
    
19.         Comments:
    
20.         LegalCopyright: © Microsoft Corporation. All rights reserved.
    
21.         LegalTrademarks:
    
22. Matched Keyword: [antimalware malware]
    
23. Suspicious Driver Module: hvsifltr.sys
    
24. Driver FilePath: c:\windows\system32\drivers\hvsifltr.sys
    
25. Driver File Metadata:
    
26.         ProductName: Microsoft® Windows® Operating System
    
27.         OriginalFileName: hvsifltr.sys.mui
    
28.         InternalFileName: hvsifltr.sys
    
29.         Company Name: Microsoft Corporation
    
30.         FileDescription: Microsoft Defender Application Guard Filter Driver
    
31.         ProductVersion: 10.0.19041.1
    
32.         Comments:
    
33.         LegalCopyright: © Microsoft Corporation. All rights reserved.
    
34.         LegalTrademarks:
    
35. Matched Keyword: [defender]

复制代码

     查找与EDR关键字匹配的注册表项

1. $ .\EDRHunt.exe -r

复制代码

0x05 获取方式

关注微信公众号雾晓安全后台回复“1020”即可获取