はじめに

セキュリティ研究者TwoSevenOneT氏が、Windows 11上でエンドポイント検出応答（EDR）ソリューションを回避するアップグレードされたツール「EDR-Redir V2」を公開しました。この新バージョンは、Windowsのバインドリンク技術を悪用し、保護されたEDRフォルダーを直接標的とするのではなく、親ディレクトリを操作することでセキュリティソフトウェアをリダイレクトするという、洗練されたアプローチを示しています。

新たな攻撃手法：親フォルダーの標的化

オリジナルのEDR-RedirツールがアンチウイルスおよびEDRの実行可能フォルダーに直接バインドリンクを作成したのとは異なり、バージョン2は「Program Files」や「ProgramData」といった親ディレクトリを標的とする異なる戦略を採用しています。研究者によると、EDRソリューションは自身の操作フォルダーを不正なファイル書き込みから保護する一方で、システム全体の正当なソフトウェアインストールを妨害することなく親ディレクトリへの変更を防ぐことはできないとされています。

この手法は、フォルダーが攻撃者によって制御される一時ディレクトリを介して自身を指し示す循環的なバインドリンク構造を作成します。EDR-Redir V2はまず、ターゲットの親ディレクトリ内のすべてのサブフォルダーをクエリし、次に「C:\TMP\TEMPDIR」のような攻撃者によって制御される場所にそれに対応するフォルダーを作成します。このツールは、フォルダーアクセスが一時ディレクトリを介して循環するようにバインドリンクを確立し、EDRの特定のフォルダーをこのループから意図的に除外します。

概念実証と影響

概念実証デモンストレーションでは、研究者はWindows 11上のWindows Defenderを正常にリダイレクトしました。Windows Defenderは「C:\ProgramData\Microsoft\Windows Defender」から動作するため、「ProgramData\Microsoft」フォルダーが攻撃対象となりました。特定のパラメーターでEDR-Redirを実行すると、Windows Defenderは攻撃者によって制御される一時ディレクトリをその親フォルダーとして認識するよう強制され、DLLハイジャック攻撃の可能性が開かれました。

ツールの実行には、リダイレクトするフォルダー、ターゲットの場所、およびリンクされないままにする例外フォルダーの3つのパラメーターが必要です。実行中、EDR-Redirは作成されたバインドリンクに関するコンソール情報を表示し、セキュリティソフトウェアの正常なリダイレクトを確認します。

防御策と懸念

研究者は、この技術が多数のアンチウイルスおよびEDRソリューションに影響を与える可能性があると示唆しています。多くの開発者は、通常の操作中に「Program Files」のような親ディレクトリがリダイレクトされることを予期していないためです。攻撃者が親フォルダーを正常に侵害すると、操作ディレクトリのEDR保護は無効になります。この技術は、攻撃者が悪意のある実行可能ファイルをリダイレクトされた一時ディレクトリにドロップすることを可能にすることで、DLLハイジャックの経路を開きます。

セキュリティチームは、「Program Files」や「ProgramData」のような重要なシステムフォルダーを標的とするバインドリンク作成の試みを監視することで、この攻撃ベクトルから防御できます。このツールはGitHubで公開されており、企業環境を標的とする脅威アクターによる悪用の可能性について懸念が高まっています。Windows 11とさまざまなEDRソリューションを実行している組織は、親フォルダーリダイレクト技術に対する脆弱性を評価し、適切なバインドリンク監視制御を実装する必要があります。

元記事: https://gbhackers.com/edr-redir-v2-evades-detection-on-windows-11/