EDR-Freeze ve EDR-Redir gibi EDR kaçırma araçlarıyla tanınan güvenlik araştırmacısı TwoSevenOneT, bu hafta EDRStartupHinder’ı tanıttı.
Araç, Windows 11 25H2’de Windows Defender’da gösterildiği gibi, kritik System32 DLL’lerini Windows Bindlink aracılığıyla yeniden yönlendirerek antivirüs ve EDR hizmetlerini başlangıçta engeller.
Antivirüs ve EDR hizmetleri standart Windows hizmetleri gibi çalışır ancak çekirdek sürücülerinden gelişmiş koruma sağlar.
SİSTEM ayrıcalıkları altında çalışırlar, önyüklemede otomatik olarak başlarlar ve kullanıcı modu müdahalesini önlemek için Korumalı İşlem Işığı (PPL) kullanırlar. Kullanıcı modundaki yapılandırma değişiklikleri başarısız olur ve işlemler, EDR-Freeze gibi gelişmiş teknikler olmadan değişiklik yapılmasına direnç gösterir.
Bindlink Başlatma Kesintisi
EDR-Redir gibi önceki teknikler, EDR klasörlerini başlatma sonrasında yeniden yönlendiriyordu ancak satıcılar bunlara karşı sert davranıyordu. EDRStartupHinder, EDR’ler de dahil olmak üzere tüm süreçler için gerekli olan System32’yi hedef alarak bu durumun önüne geçer.
Adımlar arasında daha yüksek öncelikli bir hizmetin oluşturulması, çekirdek bir DLL dosyasının imzasız “bozuk” bir kopyaya bağlanması, yük arızası durumunda EDR’nin çökmesi için PPL’den yararlanılması ve sonlandırma sonrası temizliğin yapılması yer alır.
Hizmet önceliği, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder kontrol edilerek BYOVD araştırmasından elde edilir. DLL, İşlem Monitörü aracılığıyla tanımlanabilen KnownDLL’lerin önyükleme listesinden kaçınmalıdır.
GitHub’da bulunan EDRStartupHinder parametreleri alır: OriginalLib (System32 DLL), FakeLib (kopyalama konumu), ServiceName/Group (öncelik), EDRProcess (MsMpEng.exe gibi hedef).
FakeLib’deki PE başlık imzasını bozar, hizmet olarak kaydeder, EDR başlatılmasını izler, Bindlink’i dinamik olarak uygular/kaldırır. Kullanıcılar, Process Explorer önyükleme günlüklerini kullanarak EDR’ye özgü DLL’leri ve grupları araştırmalıdır.
Laboratuvar Windows 11 25H2 sisteminde, TDI hizmet grubu önceliğiyle MsMpEng.exe (Defender motoru) ve msvcp_win.dll’yi (başlangıçta yüklenir) hedefliyor. Komut: EDRStartupHinder.exe msvcp_win.dll C:\TMP\FakeLib DusmSVC-01 TDI MsMpEng.exe.
Yeniden başlatma sonrasında hizmet ilk olarak etkinleştirilir ve DLL’yi yeniden yönlendirir; PPL korumalı MsMpEng, imzasız DLL’yi reddeder ve kendi kendine sona erer.
Sistem yöneticilerininbinlink.dll kullanımını, yüksek öncelikli gruplardaki şüpheli hizmetleri ve System32 anormalliklerini izlemesi gerekir. Kapsamlı savunma, KnownDLL genişletmelerini, imza uygulama denetimlerini ve mini filtre günlük kaydını içerir. Satıcıların DLL bağımlılıklarını ve başlangıç sıralamasını sağlamlaştırması gerekiyor.
Bu teknik, Windows mekanizmalarının kırmızı takımlar için iki ucu keskin kılıçlar olduğunun, Defender’a ve laboratuvarlardaki isimsiz ticari EDR’lere/AV’lere karşı etkili olduğunun altını çiziyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
