СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.09.2025
#Dev#ИБ

EDR-Freeze и BYOVD: новая угроза обхода систем защиты Windows

EDR-Freeze и BYOVD: новая угроза обхода систем защиты Windows

Источник: www.zerosalarium.com

Появление инструментов наподобие EDR-Freeze свидетельствует о тревожной эволюции техник обхода средств защиты конечных точек. В центре внимания — стратегия BYOVD (Bring Your Own Vulnerable Driver), позволяющая обходить EDR и антивирусные решения за счёт эксплуатации уязвимых драйверов и механизмов операционной системы. Отдельно выделяются приёмы, направленные на нейтрализацию защиты Defender в Windows 11 и обход режима Protected Process Light.

Как работает EDR-Freeze

EDR-Freeze использует функцию MiniDumpWriteDump, которая приостанавливает все потоки в целевом процессе — фактически «замораживая» его работу. Это даёт злоумышленникам возможность временно нейтрализовать процессы EDR и антивирусов и выполнять манипуляции с их памятью и файлами без мгновенного обнаружения.

«Заморозить» работу EDR и антивирусных процессов — ключевая тактика, применяемая EDR-Freeze.

BYOVD: расширение арсенала атак через уязвимые драйверы

Метод BYOVD развивается: злоумышленники комбинируют Windows symbolic links с уязвимыми драйверами, что увеличивает набор потенциальных эксплойтов. В результате атакующие получают возможность нацеливаться на гораздо большее количество драйверов, обладающих возможностями записи файлов, — это расширяет их возможности по нарушению мер безопасности и по получению более широких привилегий в системе.

  • Комбинация symbolic links и уязвимых драйверов расширяет поверхность атаки.
  • Атаки становятся эффективнее за счёт использования драйверов с правом записи файлов.
  • Такие приёмы позволяют обойти ограничения, которые раньше сдерживали злоумышленников.

Маскировка путей и перенаправление папок

Другой широко обсуждаемый метод — маскировка путей, когда злоумышленники с обычными пользовательскими привилегиями имитируют легитимные пути системных процессов, включая исполняемые файлы службы защиты от вредоносных программ (Defender). Это достигается путём тонкой подстройки событий создания процесса и контекста командной строки, чтобы вредоносные действия выглядели как безобидные операции.

Кроме того, приёмы перенаправления папок позволяют атакующим получить доступ к защищённым папкам, содержащим исполняемые файлы Defender. После этого возможно:

  • загрузка вредоносных библиотек DLL вместо легитимных;
  • портирование или повреждение исполняемых файлов Defender, что нарушает его функциональность;
  • обход защитных оболочек и механизмов контроля целостности.

Protected Process Light (PPL): защита и её обход

PPL (Protected Process Light) — важный механизм Windows для защиты критически значимых процессов, включая компоненты EDR и антивирусов. PPL ограничивает доступ к защищённым процессам и препятствует их модификации из неоправомоченных модулей.

Однако из отчёта следует, что разрабатываются техники по использованию процессов с функциональностью PPL или по созданию условий, когда такие процессы можно задействовать в злоумышленнических сценариях. Это фактически позволяет выполнять действия, которые ранее были недоступны без поддержки со стороны доверенных драйверов Windows.

«PPL — это надежная функция, защищающая жизненно важные процессы в Windows» — но злоумышленники ищут пути её обхода через создание процессов с PPL-возможностями.

Последствия для безопасности и рекомендации

Изменения в тактиках атак отражают тенденцию к целенаправленному подрыву базовых протоколов безопасности ОС и создают серьёзные риски для целостности конечных точек. Что можно порекомендовать организациям и разработчикам средств защиты:

  • Обеспечить своевременное применение обновлений Windows и обновлений драйверов.
  • Ограничить возможность установки неподписанных или сомнительных драйверов; внедрять строгую политику kernel-mode code signing.
  • Усилить мониторинг аномалий: отслеживать массовую приостановку потоков, вызовы MiniDumpWriteDump и необычные события создания процессов с «легитимными» путями.
  • Контролировать доступ и целостность защищённых папок Defender; внедрять механизмы проверки подписи и целостности исполняемых файлов и библиотек.
  • Сотрудничать с вендорами EDR/AV для оперативного выпуска сигнатур и поведенческих детекторов, учитывающих новые цепочки атак BYOVD.
  • Минимизировать уязвимую поверхность: исключать из рабочего окружения ненадёжные драйверы и ограничивать права пользователей.

Вывод

Появление таких инструментов, как EDR-Freeze, и эволюция BYOVD демонстрируют, что атаки на уровень защищённых процессов и драйверов становятся всё более изощрёнными. Современные средства защиты и политики безопасности должны учитывать эти сценарии: сочетание технических мер (ограничение установки драйверов, мониторинг, контроль целостности) и оперативного взаимодействия с вендорами остаётся ключом к сдерживанию подобной угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: