码迷,mamicode.com
首页 > 其他好文 > 详细

绕过PALOALTO TRAPS EDR解决方案

时间:2019-03-20 01:14:26      阅读:230      评论:0      收藏:0      [点我收藏+]

标签:rfs   ltm   需要   一个   .com   code   out   load   解决方法   

0x1 技术点

PaloAlto Traps(EDR解决方案)基于行为封锁和标记许多黑客工具。

0x2 绕过方法

最简单的解决方案就是禁用内置实用程序,即; Cytool。Cytool是一个集成命令行界面(CLI),Cytool位于端点上的C:\Program Files\Palo Alto Networks\Traps文件夹中。

2.1 难点

禁用服务(Cyvrfsfd)会有超级用户密码。

技术图片

2.2 解决方法

使用fltMC.exe unload Cyvrfsfd这条命令后就可以禁用Cytool。之后运行任何攻击性工具,也不会有任何警报/阻止。

技术图片

先决条件是FLTMC.exe需要提升命令提示符(CMD或PowerShell)为管理员权限。

0x3 参考

https://www.c0d3xpl0it.com/2019/01/bypassing-paloalto-traps-edr-solution.html

https://twitter.com/carlos_perez

https://www.youtube.com/watch?v=t07yWDq4dT0

https://ss64.com/nt/fltmc.html

绕过PALOALTO TRAPS EDR解决方案

标签:rfs   ltm   需要   一个   .com   code   out   load   解决方法   

原文地址:https://www.cnblogs.com/17bdw/p/10562347.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!