Выпущена новая версия инструмента EDR-Redir V2, предназначенная для обхода систем обнаружения и реагирования на конечных устройствах (EDR) с использованием технологии связи в Windows. В этой версии целевыми являются родительские директории установок EDR, такие как Program Files и ProgramData, для создания петлевых перенаправлений, которые ослепляют программы безопасности, не нарушая работу законных приложений.
Обход защиты Windows 11 с помощью EDR-Redir V2
Технология и применение
Ранее применялись непосредственные переадресации папок, которые часто блокировались защитными механизмами, но V2 позволяет создавать петли из подкаталогов, исключая конкретные директории EDR для манипуляций. Инструмент использует возможность создания ссылок через драйвер bindflt.sys, что позволяет перенаправлять имена файловых систем без привилегий ядра.
EDR-Redir V2 сканирует все подкаталоги в целевой директории, например C:\Program Files, и создает их зеркала в контролируемой директории, например C:\TMP\TEMPDIR. Он затем устанавливает двусторонние ссылки между этими зеркалами и оригиналами, формируя петли, которые обеспечивают нормальный доступ для программ, не связанных с EDR. Конкретный подкаталог EDR, такой как Windows Defender в C:\ProgramData\Microsoft\Windows Defender, исключается из петли и перенаправляется только в TEMPDIR атакующего.
Демонстрация и риски
Исследователь TwoSevenOneT продемонстрировал EDR-Redir V2 на Windows 11, воздействуя на C:\ProgramData\Microsoft\Windows Defender. Запуск инструмента с заданными параметрами указал на целевую папку, место перенаправления и путь исключения: EDR-Redir.exe C:\ProgramData\Microsoft c:\TMP\TEMPDIR "C:\ProgramData\Microsoft\Windows Defender". Консольный вывод подтвердил успешное создание связей без ошибок. После запуска Defender безуспешно пытался получить доступ через TEMPDIR, что позволяло евразийским тактикам избегать обнаружения.
Методика выявляет уязвимости в защите EDR от манипуляций с файловыми системами на уровне родительских папок, делая неэффективными методы защиты папок. Хотя о массовых эксплуатациях пока не сообщается, простота метода вызывает опасения в корпоративных средах. Защитники должны отслеживать использование ссылок в критических директориях и проводить проверки целостности путей EDR. Поставщики EDR могут нуждаться в усилении защит на уровне родительских папок без нарушения удобства использования.
