Новые техники «Windows Bind Link» позволяют злоумышленникам обходить EDR и средства безопасности

Windows Bind Links Edr обход защиты Bitdefender атака csoonline.com

Злоумышленники с правами администратора нашли три способа обхода EDR и AMSI через Windows Bind Links. Узнайте, как техники File-Binding, Process-Binding и Silo-Binding маскируют вредоносное ПО под доверенные файлы, и почему Microsoft считает угрозу низкой, а Bitdefender — критической.

У злоумышленников, уже имеющих права администратора на машине с Windows, появились новые способы обходить защиту конечных точек без эксплуатации уязвимого драйвера или модификации доверенных бинарных файлов.

Исследователи Bitdefender предупредили о трех техниках, которые злоупотребляют Windows Bind Links — легитимной возможностью виртуализации файловой системы, — чтобы занять инструменты безопасности чистыми файлами, пока вредоносные выполняются незамеченными.

Эти техники могут использоваться «для ослепления сенсоров EDR и обхода встроенных защит Windows, таких как AMSI и AppLocker», — заявили исследователи в сообщении в блоге, переданном CSO перед его публикацией в среду. Названные File-Binding, Process-Binding и Silo-Binding, эти техники эксплуатируют то, как драйвер Bind Filter «bindflt.sys» перенаправляет пути к файлам в памяти.

Хотя Microsoft, по сообщениям, оценила эти проблемы как имеющие низкую степень серьезности, поскольку для их эксплуатации требуются права администратора, Bitdefender подчеркнула их важность, сравнив угрозу с атаками Bring Your Own Vulnerable Driver (BYOVD).

Microsoft не сразу ответила на запрос CSO о комментарии.

Три пути атаки от одной уязвимости

Исследование Bitdefender было сосредоточено на Bind Links — функции Windows, предназначенной для легитимных сценариев виртуализации, таких как Windows Sandbox, контейнеры Windows и приложения Store. Bind Links работают полностью внутри «bindflt.sys», позволяя одному пути к файлу прозрачно разрешаться в другой без создания видимого объекта файловой системы или изменения исходного файла.

Bitdefender продемонстрировала, как злоумышленники могут постепенно превращать эту возможность в оружие.

Первая техника, File-Binding, перенаправляет пути к доверенным DLL или файлам на подконтрольные злоумышленнику замены. Исследователи показали, как PowerShell загружает то, что выглядит как легитимный amsi.dll, но Bind Link вместо этого предоставляет вредоносную DLL, которая экспортирует идентичные функции, одновременно незаметно отключая сканирование вредоносных программ.

Process-Binding расширяет эту концепцию на исполняемые файлы. Здесь, по словам исследователей, Windows сообщает, что выполняется доверенный исполняемый файл, например «winever.exe», в то время как операционная система на самом деле выполняет другой бинарный файл, такой как cmd.exe. Поскольку многие продукты безопасности полагаются на пути к исполняемым файлам для составления белых списков, сигнатур и идентификации процессов, это несоответствие может обмануть как политики безопасности, так и аналитиков.

Самая сложная из трех, Silo-Binding, использует изоляторы Windows (silos) — технологию изоляции в контейнерах Windows, — чтобы предоставлять разные представления файловой системы внутри и снаружи изолированной среды. Исследователи продемонстрировали потенциальное вредоносное ПО, выполняющееся внутри изолятора как доверенное приложение, в то время как инструменты безопасности, работающие вне изолятора, считывают их как легитимные файлы.

Bitdefender продемонстрировала обход AppLocker, брандмауэра Windows, Sysmon и даже выполнение Invoke-Mimikatz под идентификатором доверенного процесса для уклонения от обнаружения.

Потенциальный вектор атаки после компрометации

Отвечая на оценку Microsoft о низкой серьезности, исследователи отметили, что эти техники являются эффективными атаками уклонения после компрометации, а не уязвимостью удаленного выполнения кода.

«Каждая система Windows 10 RS4+ и Windows 11 подвержена риску, как только злоумышленник получает на ней доступ администратора», — заявили они. «Каждый антивирус и EDR, который доверяет пути к файлу образа, возвращаемому стандартными процедурами уведомления о процессах, затронут».

Bitdefender также раскрыла связанный сценарий повышения привилегий, затрагивающий Docker Desktop, где члены группы «docker-users» могли использовать Bind Links для получения привилегий SYSTEM.

После раскрытия информации Docker, по сообщениям, обновил свою документацию, чтобы разъяснить последствия для безопасности разрешений этой группы.

Хотя Windows 24H2 вводит механизм вето, который может блокировать создание bind-link, исследователи описали его лишь как частичное смягчение, поскольку он ограничен новыми системами, применяется только в определенных сценариях и может быть обойден.

Вместо этого они рекомендовали разрешать реальный резервный файл, а не доверять путям процессов, повторно проверять идентичность файла всякий раз, когда он открывается заново для хеширования или сканирования, а также перечислять активные сопоставления bind-link для обнаружения злоупотреблений в рамках изолятора.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: