duty-free.cc

Атаки через Windows Bind Link позволяют скрывать вредоносное ПО от EDR-инструментов

Атаки через Windows Bind Link позволяют скрывать вредоносное ПО от EDR-инструментов

Исследователи безопасности из Bitdefender продемонстрировали три техники атак, в которых функция Windows bind links используется для обхода систем обнаружения и реагирования на угрозы (EDR).

Что такое bind links?

Bind links — легитимная функция Windows, реализованная через bindflt.sys и применяемая в Store-приложениях, Windows Sandbox и контейнерах. Это механизм перенаправления на уровне ядра, создающий виртуальный путь, прозрачно отображаемый на реальный файл.

Если bind link изменить так, чтобы резервный путь указывал на файл под контролем атакующего, этот файл становится фактически невидимым для систем защиты. Системные инструменты при этом видят лишь доверенный путь, указывающий на безобидный файл.

Три техники атак

1. File-binding (перехват пути)

Простейшая техника. Пример — обход AMSI.dll (Antimalware Scan Interface): bind link перенаправляет загрузку AMSI к поддельной DLL атакующего. PowerShell при запуске загружает фальшивую библиотеку, не подозревая об этом, — большинство EDR и сканеров видят виртуальный путь как реальный, получая данные из поддельного файла. Техника применима к любой DLL, которой доверяет какой-либо процесс.

2. Process-binding (подмена исполняемого образа)

Применение file-binding к исполняемым файлам. Например, bind link может перенаправить доверенный путь к winver.exe на вредоносный файл. EDR проверяет путь, считает его корректным и «думает», что анализирует безобидный файл — тогда как реально выполняется вредоносная нагрузка. Однако у этой техники есть ограничение: ссылка является глобальной и может быть обнаружена сторонними сканерами.

3. Silo-binding (изолированное скрытие)

Наиболее мощная техника. Требует создания пользовательского Windows silo — изолированной среды с собственным представлением файловой системы, реестра и объектов. Bind link внутри silo не является глобальным и не виден снаружи. В результате:

  • Внутри silo путь ведёт к вредоносной нагрузке атакующего
  • Снаружи silo любой инструмент, ищущий нагрузку, перенаправляется к чистому оригинальному файлу

На практике это означает, что вредоносный код выполняется, но не обнаруживается сканерами, работающими вне silo. Bitdefender подтвердила, что с silo-binding стандартный Mimikatz не был обнаружен EDR, тогда как без него — был.

Позиция Microsoft и ответ Bitdefender

Microsoft оценила уязвимость как низкой серьёзности, поскольку требует прав администратора. Bitdefender возразила: злоумышленники регулярно получают права администратора, а техника BYOVD (Bring Your Own Vulnerable Driver) — тоже требующая прав администратора — давно стала стандартным шагом в арсенале профессиональных групп вымогателей.

«Злоупотребление bind links даёт тем же атакующим ещё один способ ослепить агент защиты конечной точки — без уязвимого драйвера вообще, только с документированной функцией Windows и правами администратора, которые у них уже есть.»

— Bitdefender