S.E.Reborn
Переслано от SecAtor
Исследователь TwoSevenOneThree (Zero Salarium) разработал новый метод и концептуальный инструмент под названием EDR-Freeze, который позволяет реализовать обход решений безопасности из пользовательского режима с помощью системы отчетов об ошибках Windows (WER) от Microsoft.
Представленная технология не требует уязвимого драйвера и способна переводить работу агентов безопасности, таких как EDR, в состояние гибернации.
Используя фреймворк WER вместе с API MiniDumpWriteDump, исследователь нашел способ приостановить на неопределенный срок активность EDR и антивирусных процессов.
Существующие методы отключения EDR основаны на технике BYOVD, когда злоумышленники берут легитимный, но уязвимый драйвер ядра и используют его для повышения привилегий.
К основным недостаткам атак BYOVD относятся необходимость доставки драйвера в целевую систему, обход защиты выполнения и удаление артефактов на уровне ядра, которые могут раскрыть операцию.
EDR-Freeze описывается как гораздо более скрытый метод, не требующий драйвера ядра, работающий полностью в пользовательском режиме и использующий легитимные компоненты Windows, которые по умолчанию присутствуют в операционной системе.
WerFaultSecure представляет собой компонент отчетов об ошибках Windows, работающий с привилегиями Protected Process Light (PPL), предназначенный для сбора аварийных дампов конфиденциальных системных процессов для отладки и диагностики.
MiniDumpWriteDump - это API в библиотеке DbgHelp, который генерирует снимок памяти и состояния процесса (минидамп).
При этом все потоки целевого процесса приостанавливаются и возобновляются после завершения задания.
EDR-Freeze задействуетль TwoSevenOneThree (Zero Salarium) разработал который временно приостанавливает все потоки в целевом процессе на время записи дампа.
Во время этого процесса злоумышленник приостанавливает сам процесс WerFaultSecure, поэтому дампер никогда не возобновляет работу с целью, оставляя процесс AV в состоянии «комы».
Помимо описания самого механизма исследователь также разработал инструмент, обеспечивающий автоматизацию всей атаки, тестирование
которого было успешно проведено на Windows 11 24H2 и завершилось приостановкой процесса Защитника Windows.
Описанная новая атака объединяет предполагаемое поведение MiniDumpWriteDump и WerFaultSecure, так что это скорее недостаток реализации, нежели уязвимость в Windows.
Защититься от EDR-Freeze можно, отслеживая, указывает ли WER на идентификатор конфиденциального процесса, такого как LSASS или инструменты безопасности.
Для этой цели исследователь Стивен Лим представил утилиту, которая сопоставляет WerFaultSecure с процессами конечных точек Microsoft Defender.
Тем не менее, в самой Microsoft пока никак не комментируют недостаток и вообще непонятно, будут ли она как-то реагировать. Но будем посмотреть.
Представленная технология не требует уязвимого драйвера и способна переводить работу агентов безопасности, таких как EDR, в состояние гибернации.
Используя фреймворк WER вместе с API MiniDumpWriteDump, исследователь нашел способ приостановить на неопределенный срок активность EDR и антивирусных процессов.
Существующие методы отключения EDR основаны на технике BYOVD, когда злоумышленники берут легитимный, но уязвимый драйвер ядра и используют его для повышения привилегий.
К основным недостаткам атак BYOVD относятся необходимость доставки драйвера в целевую систему, обход защиты выполнения и удаление артефактов на уровне ядра, которые могут раскрыть операцию.
EDR-Freeze описывается как гораздо более скрытый метод, не требующий драйвера ядра, работающий полностью в пользовательском режиме и использующий легитимные компоненты Windows, которые по умолчанию присутствуют в операционной системе.
WerFaultSecure представляет собой компонент отчетов об ошибках Windows, работающий с привилегиями Protected Process Light (PPL), предназначенный для сбора аварийных дампов конфиденциальных системных процессов для отладки и диагностики.
MiniDumpWriteDump - это API в библиотеке DbgHelp, который генерирует снимок памяти и состояния процесса (минидамп).
При этом все потоки целевого процесса приостанавливаются и возобновляются после завершения задания.
EDR-Freeze задействуетль TwoSevenOneThree (Zero Salarium) разработал который временно приостанавливает все потоки в целевом процессе на время записи дампа.
Во время этого процесса злоумышленник приостанавливает сам процесс WerFaultSecure, поэтому дампер никогда не возобновляет работу с целью, оставляя процесс AV в состоянии «комы».
Помимо описания самого механизма исследователь также разработал инструмент, обеспечивающий автоматизацию всей атаки, тестирование
которого было успешно проведено на Windows 11 24H2 и завершилось приостановкой процесса Защитника Windows.
Описанная новая атака объединяет предполагаемое поведение MiniDumpWriteDump и WerFaultSecure, так что это скорее недостаток реализации, нежели уязвимость в Windows.
Защититься от EDR-Freeze можно, отслеживая, указывает ли WER на идентификатор конфиденциального процесса, такого как LSASS или инструменты безопасности.
Для этой цели исследователь Стивен Лим представил утилиту, которая сопоставляет WerFaultSecure с процессами конечных точек Microsoft Defender.
Тем не менее, в самой Microsoft пока никак не комментируют недостаток и вообще непонятно, будут ли она как-то реагировать. Но будем посмотреть.
Zerosalarium
EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State
EDR-Freeze exploits the vulnerability of WerFaultSecure to suspend the processes of EDRs and Antimalware, halting the operation of Antivirus and EDR
? 4
19 2.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram