Недавно разработанный инструмент EDR-Freeze представил собой новую угрозу для современных систем безопасности, переводя решения EDR и антивирусы в продолжительное состояние «комы». Этот инструмент использует функцию Windows MiniDumpWriteDump, чтобы приостановить все нити в целевом процессе и создать дамп памяти. Однако
Для обхода защитных механизмов Protected Process Light (PPL), инструмент использует компонент Windows Error Reporting, а именно WerFaultSecure.exe, функционирующий на уровне WinTCB. Этот процесс вызывает MiniDumpWriteDump на защищённых процессах EDR и антивирусов. Однако, благодаря некорректной синхронизации процесса, атака через EDR-Freeze позволяет приостановить выполнение WerFaultSecure.exe в момент создания дампа, что приводит к неудачному завершению операции. В результате этого, процесс безопасности остаётся приостановленным навсегда, пока процесс кинаппера не завершится.
Распознавание и предупреждение угроз
Инструмент EDR-Freeze принимает идентификатор процесса (PID) цели и продолжительность приостановления в миллисекундах. Исследователи продемонстрировали его способность приостанавливать MsMpEng.exe, известный как Защитник Windows, на версии Windows 11 24H2. Специалисты в области безопасности рекомендуют организациям внимательно следить за необычным выполнением WerFaultSecure.exe, особенно если он нацелен на чувствительные процессы, такие как агенты EDR и lsass.exe.
- Принять меры по мониторингу использования WerFaultSecure.exe на критически важных процессах.
- Настроить оповещения высокого приоритета для выявления попыток использования EDR-Freeze.
- Обновлять и патчить текущие решения безопасности с учётом новых угроз.
Хотя EDR-Freeze является всего лишь концепцией, его способность обходить современные защитные механизмы вызывает значительное беспокойство среди экспертов по безопасности информации. Этот инструмент подчёркивает важность постоянного усовершенствования и адаптации методов защиты для предотвращения таких инновационных угроз.
