New EDRStartupHinder Tool blocks antivirus and EDR services at startup on Windows 11 25H2 Defender

นักวิจัยด้านความปลอดภัย TwoSevenOneT ผู้พัฒนาเครื่องมือหลีกเลี่ยง EDR อย่าง EDR-Freeze และ EDR-Redir ได้เปิดตัว EDRStartupHinder เครื่องมือใหม่ที่ใช้บล็อกบริการ Antivirus และ EDR ในระหว่างการเริ่มต้นระบบ (startup) โดยการเปลี่ยนเส้นทาง DLL ที่สำคัญของ System32 ผ่าน Windows Bindlink ซึ่งได้รับการสาธิตแล้วบน Windows Defender ใน Windows 11 25H2 เครื่องมือนี้ใช้ประโยชน์จากกระบวนการเริ่มต้นระบบของ Windows เพื่อปิดการใช้งานกลไกป้องกันตั้งแต่เนิ่นๆ ทำให้ระบบตกอยู่ในความเสี่ยง

Severity: วิกฤต

System Impact:

• Windows 11 25H2 (สาธิตบนเวอร์ชันนี้)
• บริการ Antivirus (AV)
• บริการ Endpoint Detection and Response (EDR)
• Windows Defender (เป้าหมายหลักในการสาธิต)
• DLLs ใน System32 ที่สำคัญต่อการทำงานของระบบ
• EDR/AV เชิงพาณิชย์ที่ไม่ระบุชื่อ (ทดสอบในห้องปฏิบัติการแล้ว)

Technical Attack Steps:

1. สร้างบริการที่มีลำดับความสำคัญสูงกว่า: เครื่องมือสร้างบริการ Windows ใหม่ที่มีลำดับความสำคัญในการเริ่มต้นสูง เพื่อให้ทำงานก่อนบริการ Antivirus และ EDR ปกติ
2. เปลี่ยนเส้นทาง DLL ที่สำคัญด้วย Bindlink: EDRStartupHinder ใช้คุณสมบัติ Windows Bindlink เพื่อเปลี่ยนเส้นทาง Dynamic Link Library (DLL) ที่สำคัญจากไดเรกทอรี System32 ไปยังสำเนาที่ถูกสร้างขึ้นและ ‘เสียหาย’ (corrupted) ซึ่ง DLL ดังกล่าวจะต้องไม่อยู่ในรายการ KnownDLLs
3. แก้ไขส่วนหัว PE ของ DLL ปลอม: ทำการแก้ไขส่วนหัว Portable Executable (PE) ของสำเนา DLL ปลอมเพื่อทำให้ลายเซ็นดิจิทัลไม่ถูกต้อง
4. ทำให้ EDR หยุดทำงาน: เมื่อบริการ EDR ที่ได้รับการป้องกันด้วย Protected Process Light (PPL) พยายามโหลด DLL ที่ถูกเปลี่ยนเส้นทางและเสียหาย ระบบจะปฏิเสธ DLL ที่ไม่มีลายเซ็นและทำให้บริการ EDR หยุดทำงานหรือยุติการทำงานด้วยตนเอง
5. ล้างข้อมูลหลังการโจมตี: เครื่องมือจะทำการล้างข้อมูลหลังจากการปิดการใช้งานบริการ EDR

Recommendations:

Short Term:

• เฝ้าระวังการใช้งาน bindlink.dll: ตรวจสอบการใช้งาน bindlink.dll สำหรับกิจกรรมที่ผิดปกติ
• ตรวจสอบบริการที่มีลำดับความสำคัญสูง: ตรวจสอบบริการ Windows ที่น่าสงสัยที่ทำงานอยู่ในกลุ่มบริการที่มีลำดับความสำคัญสูง
• ตรวจสอบความผิดปกติของ System32: ตรวจสอบไดเรกทอรี System32 สำหรับการแก้ไขไฟล์ที่ผิดปกติ

Long Term:

• ขยาย KnownDLLs: พิจารณาการขยายรายการ KnownDLLs เพื่อป้องกันการเปลี่ยนเส้นทาง DLL ของระบบที่สำคัญ
• การบังคับใช้ลายเซ็นอย่างเข้มงวด: บังคับใช้การตรวจสอบลายเซ็นดิจิทัลอย่างเข้มงวดสำหรับโมดูลทั้งหมดที่โหลดเข้าสู่ระบบ
• การบันทึก minifilter: ใช้การบันทึกกิจกรรม minifilter เพื่อตรวจจับและป้องกันการดำเนินการกับระบบไฟล์โดยไม่ได้รับอนุญาต
• ผู้ขายควรปรับปรุงการป้องกัน: ผู้ผลิต Antivirus และ EDR ควรปรับปรุงความแข็งแกร่งของการพึ่งพา DLL และลำดับการเริ่มต้นระบบของผลิตภัณฑ์ของตน

Source: Cyber Security News: https://cybersecuritynews.com/edrstartuphinder-tool/