Hatena Blog Tags
はてなブログ トップ
EDR
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

EDR

(一般)
いーでぃーあーる
このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
Slapdash Safeguards17時間前

EDR Killerの「BlackSanta」のBYOVDを読み解く

単純に目を引く名前のEDR Killerだったので気になった。 www.aryaka.com BYOVD(Bring Your Own Vulnerable Driver)で使用されたドライバ BYOVDは脆弱なカーネルドライバを持ち込んで、読み込ませて使う。 そうして、カーネルレベルで操作を行うことでEDRとかセキュリティ製品の機能を無力化する。 脆弱なドライバは世の中に多数あるが、全部が全部何でもできるわけではない。 達成したい目的に応じて、カーネルレベルでその操作が可能な脆弱なドライバが持ち込まれる。 BlackSantaの場合は、プロセスキル用とファイルハンドル取得用というように2つの…

#BYOVD攻撃#EDR回避#EDRバイパス#EDR

関連ブログ

Scarlet Tactics1ヶ月前

EDR-GhostLocker 詳細技術解析

github.com 1. ツール全体の目的と攻撃フロー 2. ファイル構成と役割 3. ntdefs.h — 未公開API定義の意図 UNICODE_STRING構造体(ntdefs.h 4-9行目) SYSTEM_PROCESS_ID_INFORMATION構造体(ntdefs.h 11-15行目) SYSTEM_INFORMATION_CLASS列挙型(ntdefs.h 24-281行目) 4. main.cpp — 動的列挙版の詳細解析 4.1 ターゲット定義とプロセスマッチング ターゲット配列(main.cpp 22-28行目) ターゲット数の算出(main.cpp 30行目) マッ…

#EDR#AntiEDR
Scarlet Tactics1ヶ月前

EDRStartupHinder Version 1.0 解説

github.com 概要 攻撃フロー全体像 コア技術:Windows Bind Filter(bindfltapi.dll) Bind Filter とは何か なぜ Bind Filter が EDR 妨害に有効なのか コード上の実装(EDRStartupHinder.cpp 13–18行目) BindLnk.h の型定義と引数の意味 DLL の「改ざん」戦略(CopyAndPatchFile) PE ファイルと Authenticode 署名の構造 なぜ DOS スタブの 1 バイトだけを変更するのか 実装コード(Utils.cpp 35–43行目) CopyAndPatchFile の前…

#EDR#EDR回避#EDRバイパス#エンドポイントセキュリティ
Scarlet Tactics1ヶ月前

EDR-Freeze v1.0-fbd43cf 解説

github.com 1. ツール概要と攻撃コンセプト 1.1 攻撃の本質 1.2 ファイル構成と役割 2. エントリポイント:wmain() 2.1 SeDebugPrivilegeの有効化 2.2 メインスレッドID取得とFreezeRun呼び出し 3. 権限昇格:EnableDebugPrivilege() 3.1 トークン取得 3.2 LUID取得と特権有効化 3.3 成功確認 4. メインスレッドID取得:GetMainThreadId() 4.1 NtQuerySystemInformationの動的解決 4.2 動的バッファ確保と再試行ループ 4.3 プロセス情報のリンクリスト走…

#EDR#EDRバイパス#EDR回避#エンドポイントセキュリティ
John.com1ヶ月前

セキュリティエンジニア向け解説

Flask + ping 機能に潜む Command Injection このコードは一見すると「IPアドレスを受け取って ping するだけの便利ツール」に見えますが、実運用では即アウトな実装です。 全体像(何をしているコードか) @app.route("/") def ping(): ip = request.args.get("ip", "") command = "ping -c 1 " + ip result = os.popen(command).read() return "<pre>" + result + "</pre>" HTTP GET パラメータ ip を受け取る OS…

#セキュリティ#Flask#Python#Command Injection#RCE#Webセキュリティ#脆弱性解説#EDR
John.com1ヶ月前

セキュリティエンジニア視点で読む

Python製 TCP サーバ(最小構成)のコード解説 このコードは 「最小限の TCP サーバ」 を実装したものです。C2、バックドア、スキャナ、PoCツールなど、多くのセキュリティ系ツールの原型になっています。 全体像(何をしているコードか) TCPサーバを起動 任意のクライアント接続を受け付ける 接続ごとにスレッドを生成 受信データを表示し、ACK を返す 👉 典型的な「待ち受け型サービス」 1️⃣ ネットワーク設定 IP = '0.0.0.0' PORT = 9998 セキュリティ的な意味 0.0.0.0→ 全インターフェースで待ち受け LAN VPN 公開NIC ⚠️ 本番環境では極…

#セキュリティ#ソケット通信#TCPサーバ#DoS耐性#EDR#ネットワークセキュリティ#ホワイトハッカー
あずLOVEのほのぼの日記1ヶ月前

EDRとは何か ― アンチウイルスソフトをより強化する仕組み

近年のアンチウイルスソフト(EPP:Endpoint Protection Platform)は、無料版であっても非常に高い性能を持っています。 有料版では、さらに高度な機能が追加され、サポート体制も充実しています。しかし、それでも「万全な対策」とは言い切れなくなってきているのが現状です。 その理由として、主に以下の3点が挙げられます。 ① 高度化したサイバー攻撃 サイバー攻撃は日々進化しています。特に、AIを活用したマルウェア開発も行われており、侵入段階では検知されにくいマルウェアやランサムウェア、特定の組織を狙う標的型攻撃が増加しています。 これらは、従来のセキュリティ対策を上回るケースも…

#EDR#ランサムウェア#マルウェア#ITセキュリティ
APC 技術ブログ1ヶ月前

【CrowdStrike】Falcon Foundry徹底解説 その3

自己紹介 アプリ開発チュートリアル ステップ1:アプリを作成する ステップ2:ダッシュボードの追加 最初のウィジェット:ユーザースペースでのプロセスの実行 2番目のウィジェット:エンコード化されたPowerShellコマンド 3番目のウィジェット:不審なDNSクエリの数 4番目のウィジェット:不審なDNSクエリのデータテーブル ステップ3:ダッシュボードをアプリのホームページとして設定 ステップ4:アプリのデプロイ ステップ 5:アプリのUIのプレビュー ステップ6:Fusion SOARアクションとしてクエリを設定 ステップ7:ワークフローテンプレートの追加 ステップ8:再デプロイとリリース…

#CrowdStrike#EDR#NG-SIEM#アプリ開発
マルウェア解析ブログ2ヶ月前

My OPSEC Journey: Evasion技術に魅せられて (CRTL → (OSEP) → CETP → Maldev → ODPC)

2年くらい前から検知回避についてコツコツと勉強してきました。年の変わり目でタイミングが良かったのと、ちょうどODPCという資格に合格したので、その道のりについてまとめようと思います。昨年末ごろからEDRの回避が日本でも話題になってますね。 背景 なぜこの分野の勉強を始めた理由はシンプルに回避技術に興味があったからです。自分は元からSOCのAnalystとしてセキュリティのキャリアがスタートしました。SIEMの検知ルールを作ったり、マルウェア解析をしたり、EDRの検知内容を分析することが多かったです。特にEDRは素晴らしいプロダクトで、様々な攻撃を検知してくれる(少なくとも後で後追い調査できるよ…

#EVASION#EDR#CETP#MALDEV#ODPC#CRTL#OPSEC