一种名为EDR-Freeze的新型概念验证工具已被开发出来,它能够将端点检测与响应(EDR)和 antivirus 解决方案置于一种暂停的“昏迷”状态。
据Zero Salarium称,该技术利用了Windows的一项内置功能,为威胁行为者提供了一种更隐蔽的替代方案,以替代日益流行的自带易受攻击驱动程序(BYOVD)攻击,后者被用于禁用安全软件。
与自带漏洞驱动程序(BYOVD)方法不同,后者需要将易受攻击的驱动程序引入目标系统,而EDR-Freeze则利用Windows操作系统的合法组件。
这种方法无需安装第三方驱动程序,降低了系统不稳定和被检测的风险。整个过程从用户模式代码执行,使其成为一种隐蔽且有效的临时中和安全监控的方式。
MiniDumpWriteDump漏洞利用
EDR-Freeze技术的核心在于对MiniDumpWriteDump函数的操控。该函数是Windows DbgHelp库的一部分,旨在创建小型转储文件,即用于调试的进程内存快照。
为确保快照的一致性和完整性,该函数在创建转储文件时会暂停目标进程内的所有线程。
通常情况下,这种暂停状态很短暂。然而,EDR-Freeze的开发者设计了一种方法,可以将这种暂停状态无限延长。
主要挑战有两个方面:延长MiniDumpWriteDump函数极短的执行时间,以及绕过受保护进程轻量版(PPL)这一安全特性,该特性可保护EDR和 antivirus进程免受篡改。
为了绕过PPL保护,该技术利用了WerFaultSecure.exe</b0,这是Windows错误报告(WER)服务的一个组件。WerFaultSecure.exe可以在WinTCB级保护下运行,这是最高权限级别之一,使其能够与受保护的进程进行交互。
通过设置正确的参数,可以指示WerFaultSecure.exe对任何目标进程(包括受保护的EDR和 antivirus 代理)启动MiniDumpWriteDump函数。
谜题的最后一环是一种竞态条件攻击,它能将短暂的暂停转化为长时间的冻结。这种攻击以快速、精确的顺序展开:
WerFaultSecure.exe启动时带有参数,这些参数指示它创建目标EDR或 antivirus 进程的内存转储。- EDR-Freeze工具持续监控目标进程。
- 当目标进程进入挂起状态时(此时
MiniDumpWriteDump开始工作),EDR-Freeze工具会立即挂起WerFaultSecure.exe进程本身。
由于WerFaultSecure.exe现已暂停,它永远无法完成内存转储操作,而且关键是,永远无法恢复目标EDR进程的线程。
Zero Salarium表示,其结果是安全软件会处于永久的暂停状态,实际上形同虚设,直到WerFaultSecure.exe进程被终止。
EDR冻结工具进程终止
开发者已发布EDR-Freeze工具来演示这种技术。它需要两个简单参数:待冻结目标的进程ID(PID)和以毫秒为单位的暂停时长。
这使得攻击者能够禁用安全工具、执行恶意操作,然后让安全软件恢复正常运行,仿佛什么都没发生过一样。
在Windows 11 24H2上进行的一项测试成功暂停了Windows Defender的MsMpEng.exe进程。
对于防御者而言,检测这种技术需要监控WerFaultSecure.exe的异常执行情况。
如果观察到该程序以lsass.exe或EDR代理等敏感进程的PID为目标,则应将其视为需要立即调查的高优先级安全警报。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
