Nowa technika omijania zabezpieczeń o nazwie EDR-Freeze może być użyta do zawieszania procesów Endpoint Detection and Response (EDR) oraz programów antywirusowych w systemach Windows. Badacze odkryli niedawno metodę, która wykorzystuje legalną funkcję Windows do tymczasowego „uśpienia” oprogramowania zabezpieczającego – bez jego wyłączania czy awarii. To może stać się nowym ulubionym narzędziem cyberprzestępców.
EDR-Freeze: Atak, który usypia Twoje zabezpieczenia
Badacze z Zero Salarium opracowali nową technikę omijania zabezpieczeń, nazwaną EDR-Freeze, która pozwala atakującym czasowo „zamrażać” procesy narzędzi EDR (Endpoint Detection and Response) oraz programów antywirusowych w systemach Windows. W praktyce oznacza to, że systemy obronne są nadal uruchomione – ale nie reagują, jakby były w stanie głębokiego uśpienia.
Jak to działa?
W odróżnieniu od tradycyjnych metod obejścia opartych na podatnych sterownikach (BYOVD), EDR-Freeze nie wymaga wgrywania złośliwego kodu do jądra systemu. Zamiast tego wykorzystuje legalną funkcję MiniDumpWriteDump z biblioteki DbgHelp.dll, której celem jest tworzenie zrzutów pamięci procesów.
Podczas wykonywania zrzutu pamięci funkcja ta wstrzymuje wszystkie wątki procesu docelowego, aby uzyskać spójny obraz jego stanu. Atakujący mogą to zachowanie nadużyć, celowo uruchamiając MiniDumpWriteDump na procesach krytycznych dla bezpieczeństwa, takich jak MsMpEng.exe (Windows Defender), wstrzymując je na tyle długo, by przeprowadzić złośliwe operacje – bez wywoływania awarii czy zakończenia procesu.
Dlaczego jest to niebezpieczne?
- Brak potrzeby exploitów sterowników – technika działa w trybie użytkownika, wykorzystując zaufane, obecne w systemie pliki Windows.
- Działanie w pełni „legitne” – system i EDR nie postrzegają wywołania MiniDumpWriteDump jako podejrzanego.
- Łatwość użycia – jest prostsza i mniej ryzykowna niż BYOVD, przez co może być atrakcyjna dla mniej zaawansowanych atakujących.
- Dostępność narzędzia
Zero Salarium udostępniło EDR-Freeze na GitHubie w celach „badawczych”. Jednak historia pokazuje, że tego typu narzędzia szybko trafiają do arsenałów cyberprzestępców.
Wniosek
EDR-Freeze pokazuje, że nawet legalne mechanizmy systemu mogą zostać wykorzystane w atakach. Administratorzy i producenci rozwiązań bezpieczeństwa powinni rozważyć wprowadzenie detekcji nadużywania funkcji MiniDumpWriteDump, aby zapobiec jej wykorzystaniu w realnych atakach.
Źródła:
- EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
