ابزار EDRhunt چیست؟ تشخیص EDR موجود در سیستم
سیستم های تشخیص و پاسخگویی به حوادث در سمت Endpoint امروزه کاربرد بسیار زیادی دارند و از آنها در اغلب سیستم های امروزی استفاده میشود. در این مقاله ابتدا به معرفی EDR میپردازیم و بعد از آن ابزار EDRHunt را جهت بررسی و تشخیص EDR نصب شده بر روی سیستم مورد نظر نصب و اجرا سازی میکنینم.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
مفهوم EDR چیست؟
به زبان ساده EDR به عنوان یک سیستم جهت پاسخگویی و تشخیص حوادث و تهدیدات در سیستم ها و Endpoint ها شناخته میشود که این Endpoint ها شامل طیف گسترده از تجهیزات میشوند مانند کامپیوتر ها و لپ تاپ ها که در اکثر شرایط به واسطه نصب شدن یک Agent بر روی این سیستم ها اطلاعات متنوع و رفتارهای مختلف سیستم به سمت پایگاه داده مرکزی ارسال میشود و در آنجا تجزیه و تحلیل های متنوع بر روی این داده ها صورت میگیرد.
- بیشتر بخوانید: آموزش روش های دور زدن EDR ها به همراه مثال های عملی
ابزار EDRHunt چیست و چگونه با آن کارکنیم؟
دراصل ابزار EDRHunt توانایی تشخیص EDR نصب شده بر روی سیستم هدف را دارد بدین شکل که به واسطه این ابزار میتوانیم بفهمیم چه سیستم EDR بر روی Endpoint ما نصب و راه اندازی شده است.
بدین ترتیب این ابزار به واسطه بررسی Service های فعال و بررسی Registry های سیستم و Driver ها و فرآيند های فعال موجود در سیستم توانایی تشخیص نوع EDR را دارد.
ابزار EDRHunt چه نوع EDR های را میتواند تشخیص دهد؟
توجه داشته باشید که این ابزار توانایی تشخیص تمامی EDR های موجود را ندارد و فقط بعضی از EDR های مشخص و مطرح دنیارا میتواند شناسایی و گزارش کند که عبارتند از:
- Windows Defender
- Kaspersky Security
- Symantec Security
- Crowdstrike Security
- Mcafee Security
- Cylance Security
- Carbon Black
- SentinelOne
- FireEye
- Elastic EDR
چگونه از ابزار EDRHunt استفاده کنیم؟
این ابزار به زبان Go نوشته شده است و به صورت کاملا Open Source ارائه شده است که شما با دریافت Source Code آن میتوانید آن را Complie و اجرا سازی کنید. (به شکل زیر)
go install github.com/FourCoreLabs/EDRHunt/cmd/EDRHunt@master
علاوه بر این زمانی که شما وارد GitHub این ابزار به این آدرس میشود در قسمت مربوط به Latest Release میتوانید آخرین نسخه مربوط به EDRHunt را در قالب یک فایل EXE براساس معماری سیستم مقابل ( 32 Bit یا 64 Bit ) انتخاب و دانلود کنید.
- بیشتر بخوانید: UBA یا همان User Behavior Analytics چیست؟ به زبان ساده
بعد از دانلود کردن و استخراج کردن فایل EDRHunt محیط PowerShell را اجرا سازی میکنیم و دستور زیر را تایپ میکنیم جهت اینکه بتوانیم دستورات و Help این ابزار را ببینیم
EDRHunt.exe -h
حالا برای اینکه قصد داشته باشیم EDR موجود در سیستم را تشخیش دهیم به شکل خیلی راحت از دستور زیر استفاده میکنیم و اینکار برای ما انجام میشود و خروجی آن نمایش داده میشود.
EDRHunt.exe scan
همچنین جهت انجام یک اسکن کامل و دقیق تر از این دستور میتوانید استفاده کنید.
EDRHunt.exe all
موفق باشید