Тестовая среда для проверки кода на детект EDR

[user_47]

Всем привет!

Кто то может подсказать тестовую среду для проверки своего кода на детект EDR системами?

Сигнатурный тест прохожу без проблем. Вырубают через некоторое время после работы кода.

Хотелось бы понять какой именно кусок кода вызывает алерт.

Насколько целесообразно ковыряться с эмуляторами EDR систем для отладки кода, если чаще всего их настройка делается индивидуально в рамках фантазии настрощиков?

 

[user_47]

Привет, проверки кода на детект EDR системами лучше всего создать изолированную тестовую среду с реальными EDR решениями (например, CrowdStrike, Carbon Black, SentinelOne). Это даст наиболее точные результаты. Эмуляторы и симуляторы, такие как APTSimulator или Atomic Red Team, могут помочь имитировать атаки и понять, как реагируют EDR.
Используйте динамический анализ с IDA Pro, Ghidra или OllyDbg, чтобы выявить проблемные фрагменты кода. Инструменты для анализа и отладки, такие как Sysinternals Suite (включая Process Monitor и Process Explorer), помогут отслеживать действия вашего кода. Procmon отслеживает действия процессов, такие как чтение и запись файлов, а Wireshark анализирует сетевой трафик для выявления подозрительных активностей.
Эмуляторы EDR могут помочь в базовом анализе, но настройки EDR варьируются, поэтому они не всегда дают полную картину. Настройте тестовую среду с максимальной изоляцией от основной сети, воссоздайте политики EDR, используемые в целевой среде, и включите детализированное логирование в EDR для анализа.

стиль ответа похожь на копипаст из ChatGPT )))))) Такое я там читал)

 

[CryptWorld]

Я тоже давно ищу инфу, где взять EDR, чтобы сделать реальную лабу. Есть столько интересных статей и информации про EDR, а тестировать негде.
Искал по форуму, инфы не нашел. Я даже не знаю сколько это будет стоить. Обычно чтобы офицально его купить нужна фирма, но откуда она у меня?
От куда умельцы ее берут я не представляют. Найти обычные пользовельские AV, и сделать свой DynChecker, это фигня, а вот с этим загадка для меня.

Все что я нашел это слитый установщик SentinelOne на VM: /threads/106367/
Там еще был где-то установщик CrowdStrike-Sensor, через PS-скрипт, но он не работает.
Ну, а так эмуляторы EDR: https://github[.]com/Xacone/BestEdrOfTheMarket , https://github[.]com/sensepost/mydumbedr

Люди знающие, подскажите/поделитесь, пожалуйста, где можно взять реальный экзепляр (хоть какой-та)?

 

[bulbazar]

Hi !

I assume you want an on-premise infrastructure to do your testing and without any licensing, i can suggest you this project https://github.com/peasead/elastic-container , it's a simple script that setup elastic defend with docker.
To get the EDR features, you need to set the license to trial and not basic (everything is in .env and detailed in the repo readme).

Right now, the guy has just accepted a PR that ruins the elastic-container.sh script, so you need to change one line before launching,
at line 143, you need to replace this line :

CURRENT_SETTINGS=$(curl -s -u "${ELASTIC_USERNAME}:${ELASTIC_PASSWORD}" -X GET "${KIBANA_HOST}/api/fleet/agents/setup" -H "Content-Type: application/json")

by this line :

CURRENT_SETTINGS=$(curl -k -s -u "${ELASTIC_USERNAME}:${ELASTIC_PASSWORD}" -X GET "${LOCAL_KBN_URL}/api/fleet/agents/setup" -H "Content-Type: application/json")

Here is a video that uses this project for setup a malware lab environment

Finally, to understand your detections, you can search these repositories by detection name :
https://github.com/elastic/protections-artifacts (for EDR detections)
https://github.com/elastic/detection-rules (for SIEM detections)

Удачи!

 

[ElliotDominion]

This seems like a good idea. The service could be useful for many sellers on this forum. I'll keep an eye out for updates!

 

[user_47]

Я тоже давно ищу инфу, где взять EDR, чтобы сделать реальную лабу. Есть столько интересных статей и информации про EDR, а тестировать негде.
Искал по форуму, инфы не нашел. Я даже не знаю сколько это будет стоить. Обычно чтобы офицально его купить нужна фирма, но откуда она у меня?
От куда умельцы ее берут я не представляют. Найти обычные пользовельские AV, и сделать свой DynChecker, это фигня, а вот с этим загадка для меня.

Все что я нашел это слитый установщик SentinelOne на VM: /threads/106367/
Там еще был где-то установщик CrowdStrike-Sensor, через PS-скрипт, но он не работает.
Ну, а так эмуляторы EDR: https://github[.]com/Xacone/BestEdrOfTheMarket , https://github[.]com/sensepost/mydumbedr

Люди знающие, подскажите/поделитесь, пожалуйста, где можно взять реальный экзепляр (хоть какой-та)?

мне тоже удалось только эмуляторы найти. Из предложенных тобой у меня уже была первая ссылка. Ещё такое нашёл:
https://github{.}com/Helixo32/CrimsonEDR

Пока с ними не удалось разобраться. Запуская обычный meterpreter и он работает со свистом никак не определяясь.

Как то же парни кодеры определяют что их методы обхода работают. Тестировать такое в боевых условиях как то расточительно на мой взляд...

 

[13memtinker37]

обнови все базы
подними вирт. интерфейс на виртуалке с вендором EDR

 

[user_47]

обнови все базы
подними вирт. интерфейс на виртуалке с вендором EDR

Вопрос как раз в том и заключается: кто как разворачивает EDR и где их берёт? Доступные на гитхабе эмуляторы результата пока не дают.

 

[Stupor]

EDR заказывайте сами себе триалы на корп почты и ставьте на здоровье себе. Обычно это делается на финальной стадии доработки софта. В чем проблема?

 

[mc_snus]

Вопрос как раз в том и заключается: кто как разворачивает EDR и где их берёт? Доступные на гитхабе эмуляторы результата пока не дают.

вы можите посмотреть мою статью https://xss.pro/threads/117755/ а также советую для лицензий https://t.me/LicenseForAll

 

[user_47]

EDR заказывайте сами себе триалы на корп почты и ставьте на здоровье себе. Обычно это делается на финальной стадии доработки софта. В чем проблема?

проблема в отсутсвии информации. хотел узнать кто как реализует этот вопрос для себя.

Получается в общем доступе такое добро не найти? только через взаимодействие с вендорами?

 

[Stupor]

Получается в общем доступе такое добро не найти? только через взаимодействие с вендорами?

Ну а как можно представить "общий доступ"? EDR на хостах связаны и управляется из панели в облаке, либо с купленным либо с триал аккаунтом. Все вендоры контролируют твое облако. Почти все, например Falcon Crowd Strike, Bitdefender могут перекрыть кислород, если заметят что ты тестируешь малварь, а не используешь по назначению их софт (сам сталкивался и уже не раз).

 

[user_47]

Ну а как можно представить "общий доступ"? EDR на хостах связаны и управляется из панели в облаке, либо с купленным либо с триал аккаунтом. Все вендоры контролируют твое облако. Почти все, например Falcon Crowd Strike, Bitdefender могут перекрыть кислород, если заметят что ты тестируешь малварь, а не используешь по назначению их софт (сам сталкивался и уже не раз).

Значит как один из вариантов нужно собирать все доступные методы работы EDR и учитывать их при разработке своего билда...