Новый инструмент EDR-Freeze, разработанный исследователем под псевдонимом TwoSevenOneT, способен временно отключать системы обнаружения и ответа на угрозы (EDR) и антивирусное программное обеспечение. Это достигается без использования уязвимых драйверов, что усложняет обнаружение угрозы. Инструмент использует функциональность Windows Error Reporting для приостановки работы процессов безопасности с помощью атаки на условия гонки.
Как работает EDR-Freeze
EDR-Freeze задействует функцию
Техника особенно нацелена на компонент WerFaultSecure.exe, который может работать с защищенным процессом на уровне WinTCB, используя
Демонстрация возможностей
TwoSevenOneT продемонстрировал приостановку процесса MsMpEng.exe (Windows Defender) в Windows 11 24H2. EDR-Freeze принимает ID целевого процесса и продолжительность приостановки, что позволяет временно отключить мониторинг. Основное преимущество метода заключается в том, что он использует легитимные компоненты Windows, а не внедряет уязвимые драйверы, что делает его обнаружение более сложным по сравнению с BYOVD-техниками.
Опасения и меры безопасности
Источник кода инструмента был опубликован на GitHub для использования в исследовательских целях и команд красных команд, что вызывает опасения относительно его возможного злобного использования в руках злоумышленников. Специалистам по безопасности рекомендуется тщательно следить за параметрами командной строки WerFaultSecure.exe на наличие подозрительной активности, нацеленной на LSASS системы, антивирусные движки или агенты EDR, и рассмотреть возможность внедрения дополнительных механизмов защиты процессов, выходящих за рамки стандартных мер PPL.
