TokyoBlackHatNews

cyberpress.org 4分で読了

EDRStartupHinder、Windows 11 25H2の起動時にアンチウイルスおよびEDR保護を無効化

2026年1月11日に公開された新たな概念実証(PoC)ツールは、Windows Bindlink APIとProtected Process Light(PPL)のセキュリティ機構を悪用することで、Windows起動時にアンチウイルスおよびエンドポイント検知・対応(EDR)ソリューションが起動しないよう攻撃者が妨害できることを示している。

セキュリティ研究者Two Seven One Threeは、ブートプロセス中に重要なシステムDLLをリダイレクトすることで、Windows 11 25H2システム上でWindows Defenderおよび複数の商用セキュリティ製品を正常にブロックするツール「EDRStartupHinder」を公開した。

この手法は、Windowsのbindflt.sysドライバーを操作してセキュリティソフトを標的にする一連の攻撃の進化形に当たる。

EDRStartupHinderは、Windowsアーキテクチャにおける根本的な脆弱性を突く高度な4段階の攻撃チェーンを用いる。

まず、Windowsのサービスグループ優先度を操作し、標的のセキュリティサービスより先に起動するよう設定した悪意あるサービスを作成する。

次に、Bindlink APIを使用して、すべてのWindowsプロセスが動作に必要とするSystem32フォルダー内の重要なDLLを、攻撃者が制御する場所へリダイレクトする。

この攻撃の有効性は、EDRソフトウェア自身の保護機構を悪用する点にある。

PPL保護で動作するEDRプロセスがリダイレクトされたDLLを読み込もうとすると、EDRStartupHinderがPEヘッダーの1バイトを改変しているため、ファイルの署名が無効であることが判明する。

PPLで保護されたプロセスは未署名DLLの読み込みを拒否するため、セキュリティソフトは侵害され得る状態で動作するよりも、自ら終了する。

標的のセキュリティプロセスが終了した後、EDRStartupHinderはシステムの不安定化を防ぎ、運用上の秘匿性を維持するために、悪意あるリダイレクトを削除する。

このクリーンアップ手順により、セキュリティソフトが無効化されたままでも、他のWindowsプロセスは通常どおり動作し続ける。

成功させるには、攻撃者が標的システムに対して事前の偵察を行う必要がある。

Process MonitorやProcess Explorerなどのツールを用いて、脅威アクターは起動時にセキュリティ製品が読み込む重要なDLL、特にWindowsのKnownDLLsレジストリ一覧の外にあるDLLを特定し、メモリに事前ロードされないことを確認しなければならない。

また、ServiceGroupOrderレジストリキーを調べて標的EDRソフトのサービスグループを特定し、悪意あるサービスをそれより高い優先度で設定する必要がある。

研究者は、MsMpEng.exeが起動時にmsvcp_win.dllを読み込み、TDIグループのサービスがDefenderより先に起動することを特定することで、Windows Defenderに対してこれを実証した。

ラボ環境でのテストでは、このツールはWindows 11 25H2システム上でWindows Defenderの起動を正常に阻止した。

研究者はまた、名称非公開の複数の商用アンチウイルスおよびEDR製品に対しても有効であることを確認したが、防御策が実装される前の悪用を防ぐため、特定のベンダー名は伏せた。

この攻撃は、サービス起動後にセキュリティソフトのフォルダーをリダイレクトするEDR-Redirツールなど、研究者の過去のBindlink悪用研究を基盤としている。

しかしEDRStartupHinderは、セキュリティサービスが初期化される前にSystem32を標的にすることで、ベンダーが実装したフォルダー保護機構を回避する、より根本的な攻撃を示している。

セキュリティチームは、bindlink.dllの使用を通じてBindlinkの活動を監視し、不正なWindowsサービス作成を追跡し、多層防御戦略を実装することで、この攻撃ベクトルを検知できる。

システム管理者は、サービスグループおよびサービス起動設定に関するレジストリ変更のベースライン監視を確立すべきである。

このツールのソースコードはGitHubで公開されており、脅威アクターによる武器化の可能性が懸念されている。

エンドポイントセキュリティソリューションを導入したWindows 11環境を運用する組織は、当面の防御策として、サービス操作およびDLLリダイレクト活動に対する監視を強化すべきである。

この開示は、特権システムプロセスの保護における継続的な課題と、PPLのようなセキュリティ機構が、本来保護するはずの製品に対して武器化され得る可能性を浮き彫りにしている。

Microsoftは、この攻撃手法に対するパッチや緩和策について、現時点では公的な声明を出していない。

翻訳元: https://cyberpress.org/edrstartuphinder-disables/

ソース: cyberpress.org
#bindflt.sys #Bindlink API #DLLリダイレクト #EDRStartupHinder #EDR回避 #Protected Process Light(PPL) #Windows 11 25H2 #Windows Defender #サービス優先度操作 #起動時攻撃(ブートプロセス)

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に