امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

ابزار EDRhunt چیست؟ تشخیص EDR موجود در سیستم

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

سیستم های تشخیص و پاسخگویی به حوادث در سمت Endpoint امروزه کاربرد بسیار زیادی دارند و از آنها در اغلب سیستم های امروزی استفاده میشود. در این مقاله ابتدا به معرفی EDR میپردازیم و بعد از آن ابزار EDRHunt را جهت بررسی و تشخیص EDR نصب شده بر روی سیستم مورد نظر نصب و اجرا سازی میکنینم.

مفهوم EDR چیست؟

به زبان ساده EDR به عنوان یک سیستم جهت پاسخگویی و تشخیص حوادث و تهدیدات در سیستم ها و Endpoint ها شناخته میشود که این Endpoint ها شامل طیف گسترده از تجهیزات میشوند مانند کامپیوتر ها و لپ تاپ ها که در اکثر شرایط به واسطه نصب شدن یک Agent بر روی این سیستم ها اطلاعات متنوع و رفتارهای مختلف سیستم به سمت پایگاه داده مرکزی ارسال میشود و در آنجا تجزیه و تحلیل های متنوع بر روی این داده ها صورت میگیرد.

ابزار EDRhunt چیست؟ تشخیص EDR موجود در سیستم

ابزار EDRHunt چیست و چگونه با آن کارکنیم؟

دراصل ابزار EDRHunt توانایی تشخیص EDR نصب شده بر روی سیستم هدف را دارد بدین شکل که به واسطه این ابزار میتوانیم بفهمیم چه سیستم EDR بر روی Endpoint ما نصب و راه اندازی شده است.
بدین ترتیب این ابزار به واسطه بررسی Service های فعال و بررسی Registry های سیستم و Driver ها و فرآيند های فعال موجود در سیستم توانایی تشخیص نوع EDR را دارد.

ابزار EDRHunt چه نوع EDR های را میتواند تشخیص دهد؟

توجه داشته باشید که این ابزار توانایی تشخیص تمامی EDR های موجود را ندارد و فقط بعضی از EDR های مشخص و مطرح دنیارا میتواند شناسایی و گزارش کند که عبارتند از:

  • Windows Defender
  • Kaspersky Security
  • Symantec Security
  • Crowdstrike Security
  • Mcafee Security
  • Cylance Security
  • Carbon Black
  • SentinelOne
  • FireEye
  • Elastic EDR

چگونه از ابزار EDRHunt استفاده کنیم؟

این ابزار به زبان Go نوشته شده است و به صورت کاملا Open Source ارائه شده است که شما با دریافت Source Code آن میتوانید آن را Complie و اجرا سازی کنید. (به شکل زیر)

go install github.com/FourCoreLabs/EDRHunt/cmd/EDRHunt@master

علاوه بر این زمانی که شما وارد GitHub این ابزار به این آدرس میشود در قسمت مربوط به Latest Release میتوانید آخرین نسخه مربوط به EDRHunt را در قالب یک فایل EXE براساس معماری سیستم مقابل ( 32 Bit یا 64 Bit ) انتخاب و دانلود کنید.

ابزار EDRhunt چیست؟ تشخیص EDR موجود در سیستم

بعد از دانلود کردن و استخراج کردن فایل EDRHunt محیط PowerShell را اجرا سازی میکنیم و دستور زیر را تایپ میکنیم جهت اینکه بتوانیم دستورات و Help این ابزار را ببینیم

EDRHunt.exe -h

ابزار EDRhunt چیست؟ تشخیص EDR موجود در سیستم

حالا برای اینکه قصد داشته باشیم EDR موجود در سیستم را تشخیش دهیم به شکل خیلی راحت از دستور زیر استفاده میکنیم و اینکار برای ما انجام میشود و خروجی آن نمایش داده میشود.

EDRHunt.exe scan

ابزار EDRhunt چیست؟ تشخیص EDR موجود در سیستم

همچنین جهت انجام یک اسکن کامل و دقیق تر از این دستور میتوانید استفاده کنید.

EDRHunt.exe all

موفق باشید


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت شبکه و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

مهندس و مدرس شبکه و امنیت شبکه, دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان مدرس در TOSINSO مشغول به فعالیت هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

09 دی 1400 این مطلب را ارسال کرده

نظرات