CheckPoint Harmony对抗凭据窃取的简单测试

kakenhi

简介：
CheckPoint Harmony是一款EPP软件，含杀毒、防火墙、磁盘加密等功能。
所有的产品的控制都集成在Infinity Portal WebConsole上，可以看到上面还有XDR/MDR、硬件防火墙相关选项。
XDR需要申请获批后才能试用，但点进去可以看到模拟展示页面，我们可以发现XDR Sensor其实就是CheckPoint Harmony。不知道扩展为XDR后，Harmony的拦截能力是否会增强？还是仅仅解锁了WebConsole里面的XDR面板？
至少，我们可以得出结论：当你在一台机器上看到CheckPoiny Endpoint Protection，它既可能是EPP，也可能是XDR。这对攻击者增强了模糊性，从防御的角度来看挺好的。

软件版本：
E89.05.5018
在WebConsole中将所有防护的模式设置为阻止（默认情况下，有些防护是仅记录，不阻止）


丢一个nc上去测试是否正常工作：


测试项目：
(使用远控进行测试。远控为白加黑。所有操作为内存执行，并对调用栈进行了合法化)
1. 导lsass密码
2. 导sam
3. 键盘记录
4. 导浏览器密码

测试1：导lsass密码

1.1. 方法1 - dump lsass进程内存 - 成功


1.2. 方法2 - 远程跑mimikatz直接读取 - 成功 （甚至可以注入lsass，抓获明文密码）


测试2：导sam

2.1. reg save导出注册表 - 被拦截


2.2. 注入到lsass，再reg save导出 -  被拦截

(可以看到，注入是成功了的，但直接报lsass读取危险注册表)

(还能看到lsass的attack矩阵)
看报警可以得知，正常情况下，触发此报警的进程会被结束。但由于lsass结束了系统就崩了，所以没有结束。
有一点没明白的是，都读了注册表，为啥他只报lsass，不报我的马呢？
可能是有随机性？或者多次读取才会导致报警？

2.3. 某种妙妙小方法 - 成功


测试3：键盘记录

3.1. 偷取用户令牌启动进程 - 成功


3.2. 在新启动的用户进程中，开启键盘记录 - 成功


测试4：导浏览器记录

4.1. 在edge里面手动保存一个密码


4.2. 使用hackbrowserdata导出 - 成功



结论：
从以上测试的表现来看，不如卡巴。
因为卡巴会拦截1.1, 1.2, 2.1, 2.2。

cat-2021

支持一下

神龟Turmi

以前的CP是完整的卡巴+自己的一整套补强
现在卡巴没了。。。我对他家就一点兴趣都没有了

隔山打空气

陨落了的卡巴核心E1套件 现在是仅Sophos静态引擎的E2版本了 直接跌落神坛 自家组件表现相当的不如人意

不过实话实说 E1还在的时候也就是加强了EPP而已（不确定卡巴带的那个lsass句柄降权保护功能是否存在） EDR烂是洗不了的

驭龙

建议修改第一张截图，涂抹掉一些内容，不然容易进小黑屋

隔山打空气

驭龙 发表于 2025-12-6 17:50
建议修改第一张截图，涂抹掉一些内容，不然容易进小黑屋

他要是改名叫ZTNA就没事了 因为这里的真的是合法用途（

驭龙

隔山打空气 发表于 2025-12-6 17:53
他要是改名叫ZTNA就没事了 因为这里的真的是合法用途（

是的，这种不是那种，但还是包含了那个词，该词是不允许出现在论坛的，不然论坛会被警告

kakenhi

驭龙 发表于 2025-12-6 17:50
建议修改第一张截图，涂抹掉一些内容，不然容易进小黑屋

好的，已修改