Piyasanın En İyi EDR’si, EDR’nin kullanıcı modu algılama yöntemlerini anlamak ve atlamak için bir test alanı olarak hizmet etmek üzere tasarlanmış bir kullanıcı modu uç nokta algılama ve yanıt (EDR) projesidir. Bu teknikler temel olarak hedef işlem durumunun (bellek, API çağrıları vb.) dinamik analizine dayanır.
Savunma teknikleri:
- Çok Düzeyli API Bağlantısı
- SSN Takma/Kırma
- IAT Kancalama
- Kabuk Kodu Ekleme Tespiti
- Yansıtıcı Modül Yükleme Tespiti
- Çağrı Yığını İzleme
“EDR’lerin tehditleri tespit etmek amacıyla işlev çağrılarını analiz etmek ve engellemek için kullandığı savunma yöntemlerine ve bu yöntemlerin nasıl atlandığına her zaman ilgi duymuşumdur. Bunlardan birkaçını araştırdım ve (düşük seviyeli programlama konusundaki mütevazı geçmişimle) uygulamaya çalıştım. Daha sonra amacı baypas edilecek bir EDR oluşturmanın eğlenceli ve öğretici olacağını düşündüm,” diye konuştu aracın yaratıcısı Yazid Benjamaa Help Net Security’ye.
Geleceği tartışırken Yazid Benjamaa bize şunları söyledi: “Şimdilik yapıcı geri bildirim almayı ve insanların bununla nasıl etkileşime girdiğini görmeyi hedefliyorum. Projenin halihazırda dikkat çektiğini gördüm, bu nedenle kaynak kodunu ve uygulanan kavramları açıklığa kavuşturmak için belgeler oluşturacağım. Daha sonra diğer savunma tekniklerini gerçek EDR’lerde olduğu gibi uygulamaya devam etmeyi ve onlardan öğrenmeye devam etmeyi planlıyorum.”
Piyasanın En İyi EDR’si GitHub’da ücretsiz olarak mevcuttur. Daha fazla teknik ayrıntı için Benjamaa’nın blogunu okuyun.
Dikkate alınması gereken daha fazla açık kaynak araç: