Evading EDR
Le guide définitif pour déjouer les systèmes de détection des terminaux
Un démontage composant par composant de la façon dont les capteurs EDR modernes collectent réellement la télémétrie, et des endroits où chaque source de données peut être affamée, aveuglée ou contournée.
En tant qu'Associé Amazon, nous percevons une commission sur les achats éligibles. Le lien ci-dessus est sponsorisé.
- Auteurs
- Matt Hand
- Publié
- 2024
- Éditeur
- No Starch Press
- Pages
- 312
- Langue
- English
Prérequis
À l'aise avec les internes de Windows, le format PE et l'écriture d'outils offensifs en C ou C#. Ce n'est pas ici que vous apprendrez ces bases.
À lire si
Red teamers et ingénieurs en détection qui veulent raisonner sur l'EDR depuis le capteur, plutôt que de copier-coller le contournement à la mode.
À éviter si
Quiconque cherche une liste clé en main de contournements fonctionnels. Passez votre chemin si vous n'utilisez pas Windows ou si les internes vous rebutent.
Points clés
- L'EDR est un ensemble de sources de télémétrie, pas un monolithe ; l'évasion suppose de savoir quelle source voit quoi.
- Les contournements les plus durables visent la collecte de données du capteur, pas sa logique de détection.
- Une compréhension indépendante des éditeurs survit à n'importe quel contournement précis, que les éditeurs corrigent vite.
Notes
Le rare livre offensif qui explique la défense assez bien pour être utile aux équipes bleues. Hand résiste à la tentation du recueil de recettes et vous enseigne plutôt la plomberie, ETW, callbacks noyau, minifiltres, AMSI, pour que vous dériviez vos propres contournements. Le revers, c'est que les techniques précises vieillissent vite ; le modèle mental, lui, tient.
Que lire avant
Que lire avant Evading EDR →Intermédiaire · 2018
Malware Data Science
Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.
Intermédiaire · 2008
Hacking: The Art of Exploitation
Une visite des principes fondamentaux de l'exploitation bas niveau qui enseigne encore l'état d'esprit deux décennies plus tard.
Intermédiaire · 2012
Practical Malware Analysis
Toujours le manuel de référence pour l'analyse statique et dynamique de malwares sur Windows.
Que lire ensuite
Que lire après Evading EDR →Avancé · 2017
Attacking Network Protocols
James Forshaw, vétéran de Project Zero, sur comment capturer, parser et casser les protocoles depuis le wire jusqu'à la couche application, avec un fort focus sur la construction d'un tooling d'analyse réutilisable.
Avancé · 2014
The Art of Memory Forensics
La référence canonique de Ligh, Case, Levy et Walters sur l'analyse mémoire avec Volatility — la technique, le tooling et les internals OS dont elle dépend, sur Windows, Linux et macOS.
Avancé · 2024
Windows Security Internals
Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.
Explorer des livres similaires
Alternatives à Evading EDR →Intermédiaire · 2018
Malware Data Science
Saxe et Sanders appliquent des techniques de machine learning (classification, clustering, deep learning) à la détection et l'attribution malware, avec du code Python fonctionnel et de vrais corpus.
Avancé · 2024
Windows Security Internals
Forshaw démonte le modèle de sécurité Windows, du SRM et des jetons d'accès jusqu'à Kerberos, avec du PowerShell exécutable directement sur votre propre machine. La source unique la plus fiable sur la façon dont Windows décide réellement qui peut faire quoi.
Avancé · 2017
Attacking Network Protocols
James Forshaw, vétéran de Project Zero, sur comment capturer, parser et casser les protocoles depuis le wire jusqu'à la couche application, avec un fort focus sur la construction d'un tooling d'analyse réutilisable.