あるサイバーセキュリティ研究者が、Windows の起動時にアンチウイルスおよびエンドポイント検知・対応(EDR)ソリューションが起動しないようにする概念実証(PoC)ツール「EDRStartupHinder」を公開しました。これには Windows 11 25H2 の Microsoft Defender も含まれます。
この手法は、bindflt.sys ドライバーを介した Windows Bindlink API の機能を悪用し、セキュリティソフトウェアの初期化を妨害します。
このツールは、Bindlink API 悪用に関する過去の研究を基にしており、システム起動時に AV および EDR のフォルダーをリダイレクトする方法が示されていました。
しかし EDRStartupHinder は、Windows 初期化中にセキュリティサービス自体をまったく起動させないことで、より早い重要な段階を狙います。
技術的メカニズム
この攻撃は、EDR ソリューションを含むすべての Windows プロセスが、System32 フォルダー内にある DLL に依存しているという事実を利用します。
EDRStartupHinder は4段階のプロセスを用います。EDR サービスより先に実行されるサービスを作成し、Bindlink を使って中核 DLL を破損したバージョンへリダイレクトし、EDR のProtected Process Light(PPL)保護を悪用して自己終了を強制し、EDR が終了した後にリダイレクトを削除します。
この手法は、System32 から元の DLL をコピーし、そのデジタル署名を無効化することで機能します。
PPL で保護された EDR プロセスがこの未署名 DLL を読み込もうとすると、ファイルを拒否して自動的に自己終了します。
研究者は msvcp_win.dll ファイルを用いてWindows Defenderに対してこれを成功裏にテストし、複数の商用 EDR 製品に対しても有効であることを確認しましたが、具体的なベンダー名は伏せられました。
Zero Salariumによると、このツールは GitHub 上で EDRStartupHinder として公開されており、実行には管理者権限が必要です。
この研究は、低レベルのシステム内部やサービス初期化シーケンスを理解する高度な攻撃者に対して、Windows エンドポイントを保護することの継続的な課題を浮き彫りにしています。
組織は、この手法の潜在的な兆候として、不審なサービス作成や DLL リダイレクトの活動を監視すべきです。
翻訳元: https://gbhackers.com/edrstartuphinder-blocks-antivirus-edr-at-windows-11/
