Бизнес на Windows: новая методика EDR-Freeze

Специалист компании Zero Salarium представил новый метод временной приостановки работы антивирусов и агента EDR на операционной системе Windows. Именуемая EDR-Freeze, эта методика использует встроенные системные инструменты, не устанавливая уязвимых драйверов, и использует особенности поведения операционной системы.

Как работает EDR-Freeze

EDR-Freeze уничтожает процессы мониторинга, эксплуатируя так называемые «условия гонки». Применяя функцию MiniDumpWriteDump, все потоки целевого процесса временно приостанавливаются для создания дампа, а процесс, вызвавший дамп, должен возобновить их. Однако в методе используется техника принуждения WerFaultSecure к запуску в режиме Protected Process Light (PPL) на уровне WinTCB, чтобы инициировать дамп заданного PID. Затем WerFaultSecure автоматически приостановляется в критический момент, заставляя целевой процесс оставаться в коматозном состоянии, поскольку инициатор его возобновления заблокирован.

Важной особенностью метода является то, что он не требует применения сторонних уязвимостей драйверов, полностью работая в пользовательском режиме. Утилита EDR-Freeze принимает целевой PID и время паузы в миллисекундах, исполняя описанные шаги, в результате которых антивирусный процесс, такой как MsMpEng.exe (Windows Defender на Windows 11 24H2), остается приостановленным. За состоянием процессов наблюдали через Process Explorer.

Рекомендации и меры предосторожности

Автор метода советует внимательно следить за WerFaultSecure на предмет аномальных параметров загрузки, которые могут ссылаться на PID важнейших сервисов, таких как LSASS, антивирусные процессы или EDR агенты. Рекомендуется внедрить защитные меры, направленные на проверку цепочек загрузки защищенных процессов и выявление необычных последовательностей создания дампа. Эти шаги помогут минимизировать риски, связанные с использованием метода EDR-Freeze.

Обновлено: 23.09.2025