資安研究人員發現一種名為「EDR-Freeze」的新型概念驗證攻擊手法,證實駭客能夠利用微軟Windows錯誤回報(WER)系統,在使用者模式下繞過資安解決方案,使端點偵測與回應(EDR)等防護軟體陷入休眠狀態。
突破傳統BYOVD攻擊限制
這項由資安研究人員TwoSevenOneThree(Zero Salarium)發現的技術,透過結合Windows錯誤回報框架與MiniDumpWriteDump API,實現對EDR和防毒軟體程序的無限期暫停。
相較於傳統的「自帶易受攻擊驅動程式」(BYOVD)技術,EDR-Freeze展現出顯著優勢。BYOVD攻擊需要將惡意驅動程式偷渡至目標系統、繞過執行保護機制,並清除可能暴露操作的核心層級痕跡。EDR-Freeze則是一種更隱蔽的方法,完全在使用者模式下運作,不需要核心驅動程式,並利用Windows作業系統內建的合法元件。
利用競爭條件實現攻擊
EDR-Freeze的核心機制涉及兩個關鍵Windows元件:
- WerFaultSecure是Windows錯誤回報機制的重要組成部分,該程序以受保護處理程序輕量級(PPL)權限執行,專門收集敏感系統處理程序的當機傾印資訊,用於系統除錯與診斷。
- MiniDumpWriteDump是DbgHelp函式庫中的API,能建立處理程序記憶體與狀態的快照。在產生傾印過程中,它會暫停目標處理程序的所有執行緒,完成後再恢復運作。
EDR-Freeze透過WerFaultSecure觸發MiniDumpWriteDump功能,在產生記憶體傾印過程中暫時凍結目標程序的所有執行緒。攻擊者隨後將WerFaultSecure程序本身暫停執行,使其無法恢復目標程序運作,導致防毒軟體進入「休眠」狀態。
研究人員將此描述為競爭條件攻擊,透過以下步驟實現:首先以PPL權限啟動WerFaultSecure,接著傳遞參數指示它對目標處理程序ID執行MiniDumpWriteDump,然後監控目標處理程序直到確認已被記憶體傾印操作暫停,最後迅速取得WerFaultSecure控制權並呼叫NtSuspendProcess函式凍結傾印程序。
設計缺陷而非傳統漏洞
值得注意的是,這種攻擊手法結合了MiniDumpWriteDump和WerFaultSecure的正常預期行為,因此更像是Windows的設計缺陷,而非傳統意義上的資安漏洞。
這意味著修復難度較高,因為涉及的都是系統正常功能,而非可直接修補的程式碼錯誤。
防禦EDR-Freeze的主要方法包括監控WER是否針對敏感處理程序,如LSASS或資安工具,執行操作。資安研究員Steven Lim已開發專門工具,用於建立WerFaultSecure與微軟Defender端點處理程序之間的映射關聯。
微軟可進一步強化相關Windows元件以防止濫用,例如封鎖可疑調用、限制特定處理程序ID的使用權限,或設定參數限制。
這項發現也提醒軟體開發商,在設計系統功能時需更深入考慮潛在的安全濫用情境,建立更完善的權限控制與異常偵測機制。
本文轉載自 BleepingComputer。