Информация [PDF] Обход EDR систем

[Spectrum735]

Литература по методам и техникам обхода EDR (на английском)

Chapter 1: EDR-chitecture
Chapter 2: Function-Hooking DLLs
Chapter 3: Process- and Thread-Creation Notifications
Chapter 4: Object Notifications
Chapter 5: Image-Load and Registry Notifications
Chapter 6: Filesystem Minifilter Drivers
Chapter 7: Network Filter Drivers
Chapter 8: Event Tracing for Windows
Chapter 9: Scanners
Chapter 10: Antimalware Scan Interface
Chapter 11: Early Launch Antimalware Drivers
Chapter 12: Microsoft-Windows-Threat-Intelligence
Chapter 13: Case Study: A Detection-Aware Attack

Appendix: Auxiliary Sources Discusses niche sensors that we don’t
see deployed very frequently but that can still bring immense value to
an EDR.


ссылка

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

пароль на архив

 

[X-Shar]

Некоторые EDR-системы так просто не обойти, т.к. как правило там комплексный анализ, в том-числе и трафика.

Вот например, ЛК при помощи своей EDR-системы обнаружили атаку на iOS:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Я к тому, что надо понимать, что EDR-системы это не антивирусы, там комплексный набор методик, ещё и настроены могут-быть по разному.)

 

[Spectrum735]

@X-Shar, я так, бегло почитал, но в целом понятно

 

[Spectrum735]

хотелось бы перевод)

 

[X-Shar]

хотелось бы перевод)

Можно попробовать попереводить как время будет, при помощи ChatGPT.)

 

[megdesousa]

Есть возможность перезалить?

 

[Spectrum735]

@megdesousa,

Есть возможность перезалить?

перезалил

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Пароль на архив тот же