Telemetry Sourcerer:揭秘监控数据的魔法大师
项目地址:https://gitcode.com/jthuraisamy/TelemetrySourcerer
项目简介
Telemetry Sourcerer是一款专为Windows设计的工具,它能枚举并禁用常见的反病毒(AV)和终端保护防御(EDR)系统的监控源。该工具旨在帮助红队成员和安全爱好者在实验室环境中:
- 发现产品收集数据时的盲点。
- 确定特定类型的事件是由哪些监控源产生的。
- 验证利用其篡改功能是否会触发检测。
同时,参考作者的博客文章 "Diverting EDR Telemetry to Private Infrastructure",你可以了解如何构建私有实验室进行更深入的实验。
OPSEC警告:虽然在特定环境中可能直接使用,但任何未经修改的进攻性安全工具有其操作风险。建议将该项目的代码整合到你自己的工具链中,并结合其他技巧以降低操作足迹。
技术亮点
- 枚举并可抑制各种内核模式回调。
- 检测并解除进程内的内联用户模式钩子。
- 列出ETW会话和提供程序,突出显示可能相关的选项以便禁用。
应用场景截图
使用指南
- 下载最新版本。
- 解压文件。
- 以管理员权限运行可执行文件。
内核模式回调
要查看内核模式回调,需以管理员权限运行带有加载驱动程序的工具。由于驱动程序未签名,你可以启用测试签名模式、临时禁用驱动程序签名强制(DSE),或者用有效证书签署驱动程序:
测试签名模式
- 关闭BitLocker和Secure Boot。
- 打开一个提升权限的命令提示符窗口。
- 输入
bcdedit.exe -set TESTSIGNING ON
。 - 重启系统。
- 以管理员权限运行Telemetry Sourcerer。
使用KDU禁用DSE
git clone https://github.com/hfiref0x/KDU.git
- 打开一个提升权限的命令提示符窗口。
- 输入
kdu -dse 0
来禁用DSE。 - 以管理员权限运行Telemetry Sourcerer。
- 输入
kdu -dse 6
来启用DSE。
此选项可能与Windows 8.1及更高版本中的KPP不兼容。
签名驱动
- 获取来自Windows SDK的SignTool和Microsoft Docs上的适当cross-certificate。
- 运行
signtool sign /a /ac "cross-cert.cer" /f "cert.pfx" /p "密码" TelemetrySourcererDriver.sys
。 - 以管理员权限运行Telemetry Sourcerer。
注意事项与限制
- 本工具仅用于研究,不适合作为生产环境的OPSEC安全工具。
- 使用Visual Studio 2019和Windows 10 SDK(10.0.19041.0)、WDK(2004)编译。
- 目前不检查IAT/EAT用户模式钩子或内核模式钩子。
- 驱动程序尚未充分测试滥用情况。
- 只在Windows 7和10(x64)上进行了测试。
致谢
Telemetry Sourcerer由@Jackson_T开发,但也得益于以下人员的工作:
- @gentilkiwi 和 @fdiskyou:用于枚举回调函数的驱动代码。
- @0x00dtm:内联用户模式钩子比较逻辑。
相关文章和项目
- @matterpreter:《Mimidrv深度解析:探索Mimikatz的内核驱动》。
- @fdiskyou:《Windows内核Ps回调实验》。
- @matteomalvica:《让EDR安静下来:禁用进程、线程和图像加载检测回调》。
- @0x00dtm:《对抗用户模式钩子(附带Bitdefender案例)》(代码)。
- @palantir:《篡改Windows事件跟踪:背景、攻击与防御》。
许可证
此项目遵循Apache许可证2.0版。
结论
Telemetry Sourcerer是一把揭示监控奥秘的魔法钥匙,提供了一个独特且直观的方式,让我们深入了解Windows操作系统下的数据监控。无论你是想要增强你的红队技能,还是热衷于安全研究,这个开源工具都能提供宝贵的洞见和实验平台。立即下载并开始你的神秘之旅吧!