ときに、Windowsのセキュリティ機構を回避するのに、アンチウイルスソフトそのものへ直接攻撃を仕掛ける必要はありません。むしろ、ソフトウェアが正しく初期化できない状況を作り出すだけで十分です。Two Seven One Three(TwoSevenOneT)という名で活動するセキュリティ研究者が、EDRStartupHinderというユーティリティをGitHubで公開しました。このツールは、正規のWindowsパスリダイレクト機構を悪用し、システムのブートシーケンス中にアンチウイルスおよびEndpoint Detection and Response(EDR)ソリューションの起動を妨害するよう設計されています。
この概念の核心はBindlinkにあります。Bindlinkは、ローカルの仮想パスを別の場所に「バインド」できるAPIであり、ファイルアクセス要求を透過的にリダイレクトできるようにします。MicrosoftはBind Linksを、bindflt.sysドライバーを介してファイルシステムの名前空間をリダイレクトする方法として定義しています。これは本来、ファイルが別の場所に存在していてもローカルにあるように見せる必要がある互換性シナリオ向けの機能でした。
EDRStartupHinderの開発者は、この仕組みを攻撃的な枠組みの中で武器化しています。Windowsの起動段階において、このユーティリティはSystem32ディレクトリ内の重要なDLLに対するリダイレクトを設定します。その結果、標的となるセキュリティプロセスはライブラリの「互換性のない」バージョンを受け取り、突然終了します。プロジェクトのドキュメントには、このツールがブートプロセスのごく初期段階で必須のSystem32依存関係を迂回させることで、アンチウイルスとEDRの起動を阻止すると明記されています。
なぜこの手法は現代の防御製品に対して有効なのでしょうか。リポジトリで参照されているZero Salariumの記事は、その根底にあるロジックを説明しています。多くの防御プロセスはProtected Process Light(PPL)として初期化され、読み込みを許可されるバイナリに関して厳格な要件を維持しています。重要な依存関係が早い段階で差し替えられ、検証に失敗するようにされると、セキュリティプロセスは自己防衛機構が立ち上がる前に「自己無力化」してしまう可能性があります。著者は、この方法論がWindows 11 バージョン25H2上のWindows Defenderに対して成功裏に検証されたと述べており、さらに未公開の複数の商用ソリューションに対してもテストされたと記しています。
2026年1月11日に「Version 1.0」が登場したことは、利便性と互換性のために考案された機能が回避の道具として再利用される様子を示す、もう一つの示唆的な例です。これは特に、攻撃者が防御策に先んじる時間的優位を得られる可能性がある初期ブート段階において顕著です。
防御側にとっての主な懸念は、特定のバイナリそのものではなく、手法のクラス全体にあります。Zero Salariumの公開資料は、Bindlinkの使用状況—とりわけbindlink.dll周辺の活動—と、EDRコンポーネントに先行し得る不審な早期起動サービスの出現を厳格に監視することを推奨しています。インフラ内で異常な「互換性」サービスが現れ、再起動後に標準的な保護が突然消失する事象が併発した場合、それは直ちにフォレンジック調査を要する一連の出来事そのものです。
翻訳元: https://meterpreter.org/edrstartuphinder-new-tool-abuses-windows-bindlinks-to-hinder-edr/
