Windows 11 25H2の起動を阻害するEDRStartupHinder

サイバーセキュリティ研究者が、Windows 11 25H2の起動中にアンチウイルスおよびエンドポイント検出応答（EDR）ソリューションの起動を阻止する概念実証ツール「EDRStartupHinder」を発表しました。このツールは、Microsoft Defenderを含むセキュリティソフトウェアの起動を阻害し、その技術はWindowsのBindlink APIの機能を悪用しています。

技術的メカニズム

EDRStartupHinderは、WindowsのBindlink API機能とbindflt.sysドライバーを利用して、セキュリティソフトウェアの初期化を妨害します。この手法は、過去のBindlink API悪用に関する研究に基づいています。この攻撃は、EDRソリューションを含むすべてのWindowsプロセスがSystem32フォルダ内のDLLに依存しているという事実を悪用します。

• EDRStartupHinderは、EDRサービスよりも早く実行されるサービスを作成します。
• Bindlinkを使用して、コアDLLを破損したバージョンにリダイレクトします。
• EDRのProtected Process Light (PPL)保護を悪用し、自己終了を強制します。
• EDRが終了した後、リダイレクトを削除します。

具体的には、System32からオリジナルのDLLをコピーし、そのデジタル署名を無効にします。PPL保護されたEDRプロセスがこの署名されていないDLLをロードしようとすると、ファイルを拒否して自動的に自己終了します。

検証と影響

研究者は、msvcp_win.dllファイルを使用してWindows Defenderに対してこのツールを正常にテストし、複数の商用EDR製品に対しても有効であることを確認しました（具体的なベンダー名は非公開）。Zero Salariumによると、このツールはGitHubで公開されており、実行には管理者権限が必要です。

この研究は、低レベルのシステム内部やサービス初期化シーケンスを理解している高度な攻撃者に対し、Windowsエンドポイントを保護することの継続的な課題を浮き彫りにしています。組織は、この技術の潜在的な兆候として、疑わしいサービス作成やDLLリダイレクト活動を監視する必要があります。

元記事: https://gbhackers.com/edrstartuphinder-blocks-antivirus-edr-at-windows-11/