Появление инструментов наподобие EDR-Freeze свидетельствует о тревожной эволюции техник обхода средств защиты конечных точек. В центре внимания — стратегия BYOVD (Bring Your Own Vulnerable Driver), позволяющая обходить EDR и антивирусные решения за счёт эксплуатации уязвимых драйверов и механизмов операционной системы. Отдельно выделяются приёмы, направленные на нейтрализацию защиты Defender в Windows 11 и обход режима Protected Process Light.
Как работает EDR-Freeze
EDR-Freeze использует функцию MiniDumpWriteDump, которая приостанавливает все потоки в целевом процессе — фактически «замораживая» его работу. Это даёт злоумышленникам возможность временно нейтрализовать процессы EDR и антивирусов и выполнять манипуляции с их памятью и файлами без мгновенного обнаружения.
«Заморозить» работу EDR и антивирусных процессов — ключевая тактика, применяемая EDR-Freeze.
BYOVD: расширение арсенала атак через уязвимые драйверы
Метод BYOVD развивается: злоумышленники комбинируют Windows symbolic links с уязвимыми драйверами, что увеличивает набор потенциальных эксплойтов. В результате атакующие получают возможность нацеливаться на гораздо большее количество драйверов, обладающих возможностями записи файлов, — это расширяет их возможности по нарушению мер безопасности и по получению более широких привилегий в системе.
- Комбинация symbolic links и уязвимых драйверов расширяет поверхность атаки.
- Атаки становятся эффективнее за счёт использования драйверов с правом записи файлов.
- Такие приёмы позволяют обойти ограничения, которые раньше сдерживали злоумышленников.
Маскировка путей и перенаправление папок
Другой широко обсуждаемый метод — маскировка путей, когда злоумышленники с обычными пользовательскими привилегиями имитируют легитимные пути системных процессов, включая исполняемые файлы службы защиты от вредоносных программ (Defender). Это достигается путём тонкой подстройки событий создания процесса и контекста командной строки, чтобы вредоносные действия выглядели как безобидные операции.
Кроме того, приёмы перенаправления папок позволяют атакующим получить доступ к защищённым папкам, содержащим исполняемые файлы Defender. После этого возможно:
- загрузка вредоносных библиотек DLL вместо легитимных;
- портирование или повреждение исполняемых файлов Defender, что нарушает его функциональность;
- обход защитных оболочек и механизмов контроля целостности.
Protected Process Light (PPL): защита и её обход
PPL (Protected Process Light) — важный механизм Windows для защиты критически значимых процессов, включая компоненты EDR и антивирусов. PPL ограничивает доступ к защищённым процессам и препятствует их модификации из неоправомоченных модулей.
Однако из отчёта следует, что разрабатываются техники по использованию процессов с функциональностью PPL или по созданию условий, когда такие процессы можно задействовать в злоумышленнических сценариях. Это фактически позволяет выполнять действия, которые ранее были недоступны без поддержки со стороны доверенных драйверов Windows.
«PPL — это надежная функция, защищающая жизненно важные процессы в Windows» — но злоумышленники ищут пути её обхода через создание процессов с PPL-возможностями.
Последствия для безопасности и рекомендации
Изменения в тактиках атак отражают тенденцию к целенаправленному подрыву базовых протоколов безопасности ОС и создают серьёзные риски для целостности конечных точек. Что можно порекомендовать организациям и разработчикам средств защиты:
- Обеспечить своевременное применение обновлений Windows и обновлений драйверов.
- Ограничить возможность установки неподписанных или сомнительных драйверов; внедрять строгую политику kernel-mode code signing.
- Усилить мониторинг аномалий: отслеживать массовую приостановку потоков, вызовы MiniDumpWriteDump и необычные события создания процессов с «легитимными» путями.
- Контролировать доступ и целостность защищённых папок Defender; внедрять механизмы проверки подписи и целостности исполняемых файлов и библиотек.
- Сотрудничать с вендорами EDR/AV для оперативного выпуска сигнатур и поведенческих детекторов, учитывающих новые цепочки атак BYOVD.
- Минимизировать уязвимую поверхность: исключать из рабочего окружения ненадёжные драйверы и ограничивать права пользователей.
Вывод
Появление таких инструментов, как EDR-Freeze, и эволюция BYOVD демонстрируют, что атаки на уровень защищённых процессов и драйверов становятся всё более изощрёнными. Современные средства защиты и политики безопасности должны учитывать эти сценарии: сочетание технических мер (ограничение установки драйверов, мониторинг, контроль целостности) и оперативного взаимодействия с вендорами остаётся ключом к сдерживанию подобной угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "EDR-Freeze и BYOVD: новая угроза обхода систем защиты Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.