Новая техника EDR-Freeze обходит антивирусы без драйверов

Endpoint detection and response (EDR) - это системы, разработанные для предотвращения активности вредоносного ПО. Однако, новые методы обхода этих систем постоянно ставят под угрозу их эффективность. Один из таких методов, получивший название EDR-Freeze, позволяет злоумышленникам обходить антивирусные защиты без необходимости устанавливать уязвимые драйверы.

Минидамп, замораживающий процессы

Техника EDR-Freeze основана на использовании функции MiniDumpWriteDump, которая приостанавливает все потоки в целевом процессе на время сохранения дампа памяти. Это позволяет временно замораживать процесс антивируса. Однако, её реализация осложняется необходимостью справиться с защитой процессов при помощи технологии Protected Process Light (PPL).

Как выяснил исследователь, ключом к успеху стало реверс-инжиниринг приложения WerFaultSecure, что позволило запускать MiniDumpWriteDump для любого процесса. Используя CreateProcessAsPPL, WerFaultSecure может создавать и приостанавливать дочерний процесс, защищенный PPL.

Эксплуатация гонок процессов

Техника EDR-Freeze основана на эксплуатации состояния гонки. Запустив WerFaultSecure как процесс PPL и установив параметры для дампирования целевого процесса, можно ожидаем, пока целевой процесс заморозится. Затем WerFaultSecure также приостанавливается с использованием PROCESS_SUSPEND_RESUME и NtSuspendProcess. Если WerFaultSecure заморожен в это время, процесс целевой программы остается в постоянной паузе, что эффективно замораживает активные антивирусы или EDR-процессы.

Данная атака публикуется как proof-of-concept на GitHub, и другое исследование уже предложило KQL-запрос для её обнаружения. Главное преимущество EDR-Freeze заключается в том, что оно обходит слабые места популярных методик BYOVD (Bring Your Own Vulnerable Driver), избегая установки драйверов, что дает больше контроля над запуском или приостановкой работы процессов безопасности.

Обновлено: 24.09.2025