EDR-Freze adlı yeni bir kavram kanıtı aracı geliştirilmiştir, uç nokta algılama ve yanıtı (EDR) ve antivirüs çözeltilerini askıya alınmış bir “koma” durumuna yerleştirebilir.
Sıfır Salarium’a göre, teknik, güvenlik yazılımını devre dışı bırakmak için tehdit aktörleri tarafından kullanılan kendi savunmasız sürücü (BYOVD) saldırılarınızı getiren giderek daha popüler bir alternatif sunan yerleşik bir pencere işlevinden yararlanıyor.
Bir hedef sisteme savunmasız bir sürücünün getirilmesini gerektiren BYOVD yöntemlerinin aksine, EDR-Freze Windows işletim sisteminin meşru bileşenlerinden yararlanır.
Bu yaklaşım, üçüncü taraf sürücülerin kurulması, sistem istikrarsızlığı ve tespit riskini azaltma ihtiyacını önler. Tüm işlem kullanıcı modu kodundan yürütülür, bu da güvenlik izlemesini geçici olarak etkisiz hale getirmenin ince ve etkili bir yolunu haline getirir.
Minidumpwrittump istismar
EDR-Freze tekniğinin çekirdeği, MiniDumpWriteDump işlev. Bu işlev, pencerelerin bir parçası DbgHelp Kütüphane, hata ayıklama amacıyla bir sürecin hafızasının bir anlık görüntüsü olan bir minidump oluşturmak için tasarlanmıştır.
Tutarlı ve bozulmamış bir anlık görüntü sağlamak için, işlev, döküm oluşturulurken hedef işlem içindeki tüm iş parçacıklarını askıya alır.
Normalde, bu süspansiyon kısadır. Bununla birlikte, EDR-Freze geliştiricisi, bu askıya alınmış durumu süresiz olarak uzatmak için bir yöntem tasarladı.
Birincil zorluklar iki yönlüdür: çok kısa yürütme süresinin uzatılması MiniDumpWriteDump EDR ve antivirüs işlemlerini kurcalamadan koruyan korumalı işlem ışığı (PPL) güvenlik özelliğinin işlevi ve atlanması.
PPL korumasının üstesinden gelmek için teknik kullanılır WerFaultSecure.exeWindows Hata Raporlama (WER) hizmetinin bir bileşeni. WerFaultSecure.exe ile koşabilir WinTCB Korunan süreçlerle etkileşime girmesine izin veren en yüksek ayrıcalık seviyelerinden biri olan seviye koruması.
Doğru parametreleri hazırlayarak, WerFaultSecure.exe Başlatma talimatı verilebilir MiniDumpWriteDump Korumalı EDR ve antivirüs ajanları dahil herhangi bir hedef süreçte işlev.
Bulmacanın son parçası, anlık bir süspansiyonu uzun süreli bir donmaya dönüştüren bir yarış-koşul saldırısıdır. Saldırı hızlı ve hassas bir sırayla ortaya çıkıyor:
WerFaultSecure.exehedef EDR veya antivirüs işleminin bir bellek dökümü oluşturmak için yönlendiren parametrelerle başlatılır.- EDR-Freze Aracı hedef işlemi sürekli olarak izler.
- Hedef sürecin askıya alınmış bir duruma girdiği anda (
MiniDumpWriteDumpçalışmasına başlar), EDR-Freze aracı hemen askıya alır.WerFaultSecure.exekendini işleyin.
Çünkü WerFaultSecure.exe şimdi askıya alındı, bellek dökümü işlemini asla tamamlayamaz ve en önemlisi, hedef EDR işleminin iş parçacıklarına asla devam edemez.
Sonuç olarak, güvenlik yazılımının kalıcı bir süspansiyon durumunda bırakılması, etkili bir şekilde kör olmasına kadar WerFaultSecure.exe Sıfır Salarium, sürecin sonlandırıldığını söyledi.
Geliştirici, bu tekniği göstermek için EDR-Freze aracını yayınladı. İki basit parametre gerektirir: dondurulacak hedefin işlem kimliği (PID) ve milisaniye cinsinden süspansiyon süresi.
Bu, bir saldırganın güvenlik araçlarını devre dışı bırakmasına, kötü niyetli işlemler gerçekleştirmesine ve daha sonra güvenlik yazılımının hiçbir şey olmamış gibi normal işlemlere devam etmesine izin verir.
Windows 11 24h2’de bir test başarıyla askıya aldı. MsMpEng.exe Windows Defender süreci.
Savunucular için, bu tekniği tespit etmek, olağandışı uygulamaların izlenmesini içerir. WerFaultSecure.exe.
Program, hassas süreçlerin Pidlerini hedefleyen gözlemleniyorsa lsass.exe veya EDR ajanları, derhal soruşturma gerektiren yüksek öncelikli bir güvenlik uyarısı olarak ele alınmalıdır.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.