EDR-Redirツールの概要

サイバーセキュリティ研究者たちは、Windowsのバインドフィルター（Bind Filter）とクラウドフィルター（Cloud Filter）ドライバーを悪用することで、エンドポイント検出・対応（EDR）システムを回避できる「EDR-Redir」と呼ばれる洗練された新ツールを開発しました。この手法は、カーネル権限を必要とせず、完全にユーザーモードで動作する回避方法として注目されています。

Windowsバインドリンク機能とは

Windows 11バージョン24H2で導入されたWindowsバインドリンク機能は、仮想パスを使用してファイルシステムの名前空間リダイレクトを可能にします。これにより、管理者はローカルシステムの仮想パスを物理的なファイルのコピーなしにバッキングパスにマッピングできます。バインドフィルタードライバー（bindflt.sys）がこのリダイレクトをアプリケーションに対して透過的に処理します。

バインドリンクシステムは以下の機能を提供します：

• ファイルシステムアクセスをリダイレクトする仮想パスマッピング
• アプリケーションの認識を必要としない透過的な操作
• バッキングパスからのセキュリティ継承
• 物理ファイルを作成しない論理マッピング

EDR-Redirがシステム脆弱性を悪用する方法

従来のEDRシステムは、改ざんを防ぐために実行可能ファイルの場所に強力な保護を維持しています。しかし、EDR-Redirはバインドリンク機能を活用し、EDRの実行可能ファイルを含むフォルダーを攻撃者が制御する場所にリダイレクトします。このアプローチは、シンボリックリンクリダイレクト攻撃に対してEDRが使用する既存の保護を回避します。

このツールは、攻撃者が制御する実際のパスを指す仮想パスを作成することで動作します。EDR-Redirがこれらのバインドリンクを作成する際、操作は「OPEN」と「READ」機能に限定されますが、これらはEDR実行可能フォルダーに対して管理者が本来持っている権限です。この手法は、通常、特権サービスがシンボリックリンクをたどるのをブロックするリダイレクションガード（Redirection Guard）保護をバイパスします。

テストと回避技術：バインドリンクとクラウドフィルターAPI

セキュリティ研究者は、EDR-Redirを複数の商用EDRソリューションに対して実験し、様々な成功を収めました。Windows Defenderは基本的なバインドリンクアプローチに対して耐性を示したため、研究者たちはクラウドフィルターAPI（CFAPI）を使用する代替方法を開発しました。

• Elastic Defendに対するテスト：EDRの実行可能フォルダーを攻撃者が制御するパスにリダイレクトすることに成功しました。
• Sophos Intercept Xに対するテスト：フォルダーのリダイレクトに成功し、EDRの作業ディレクトリを完全に制御できることを示しました。

Windows Defenderのような耐性のあるシステムに対しては、研究者たちはcldflt.sysドライバーを介してWindowsクラウドフィルターAPI（CFAPI）を採用しました。このアプローチでは、最小限のポリシーで同期ルートフォルダーを登録し、ターゲットフォルダーを効果的に破損させ、EDRが重要なファイルにアクセスできないようにします。クラウドフィルター方式は、同期ルートフォルダーがシステム再起動後も永続するため、従来のバインドリンクが必要とする永続化メカニズムが不要であるため、特に効果的です。

影響と防御策

攻撃者がEDRフォルダーを制御すると、DLLハイジャック、EDR実行用の実行可能ファイルの配置、EDRプロセスやサービスの完全な無効化など、様々な悪意のある活動を実行できます。この技術はミニフィルタードライバーレベルで動作し、監視用のユーザーモードイベントは限定的です。

EDR-Redirに対する防御策としては、主にEDRベンダーがインストールフォルダーの保護メカニズムを強化し、監視を実装することが求められます。

---

元記事: https://gbhackers.com/new-edr-redir-tool-bypasses-edrs/