EDR-Redir V2 е ъпгрейдната версия на инструмент за заобикаляне на Endpoint Detection and Response (EDR) системи, който използва по нов начин Windows bind link технологията. Целта на инструмента е да „ослепи“ решенията за сигурност без да нарушава нормалната работа на легитимните приложения.
Как работи инструментът
Инструментът таргетира родителските директории на инсталациите на EDR, като например C:\Program Files или C:\ProgramData. Вместо да пренасочва директно защитените подпапки, V2:
- сканира всички подпапки в таргетната родителска папка и създава огледални копия в контролирана директория (напр.
C:\TMP\TEMPDIR); - създава двупосочни bind link връзки между мирърите и оригиналните подпапки, формирайки редиректни цикли;
- изключва конкретната подпапка на EDR (например
C:\ProgramData\Microsoft\Windows Defender) от цикъла и я пренасочва единствено към TEMPDIR, контролирано от атакуващия.
Резултатът е, че EDR вижда TEMPDIR като своя оперативна родителска папка, докато останалите приложения продължават да работят нормално с оригиналните пътища.
Технически предпоставки
Инструментът се възползва от функционалността на bind link, налична от Windows 11 24H2 чрез драйвера bindflt.sys. Ключов момент е, че тази техника може да работи без kernel привилегии, което значително улеснява приложението ѝ в потребителски режим.
Примерна демонстрация
В демонстрация срещу Windows Defender TwoSevenOneT стартира инструмента със следния набор от параметри:
EDR-Redir.exe C:\ProgramData\Microsoft c:\TMP\TEMPDIR "C:\ProgramData\Microsoft\Windows Defender".
Конзолният изход докладва успешно създаване на bind link връзките, а последващите опити на Defender за достъп бяха пренасочвани през TEMPDIR – ефективно „ослепявайки“ Defender към действителните файлове.
Възможни вектори на злоупотреба
Тази конфигурация позволява:
- DLL hijacking и принудително зареждане на компрометирани компоненти;
- поставяне на зловредни файлове в пренасоченото пространство, които EDR може да интерпретира като легитимни;
- операции в потребителски режим с минимално регистриране на събития, което затруднява детекцията.
Защо настоящите защити са недостатъчни
Много EDR доставчици заключват своите подпапки, но не могат безусловно да блокират операции върху родителските директории без риск да нарушат системни инсталации. EDR-Redir V2 експлоатира тази слабост чрез родителско ниво на пренасочване, което често остава неприложено в моделите за сигурност.
Препоръки за защита
Защитниците следва да предприемат следните мерки:
- Мониторинг на използването на bind link в критични директории като
Program FilesиProgramData. - Интегритетни проверки на пътищата и проверка дали реалният файл съответства на очакванията на EDR.
- Разширяване на мониторинга върху необичайни namespace операции и свързани IO събития.
- EDR доставчиците да обмислят механизми за защита на родителските папки – без да нарушават нормалната експлоатация – например чрез комбинация от файлови хешове, защитени метаданни и наблюдение на bindflt.sys обаждания.
Оценка на риска
Въпреки че към момента няма широко разпространени експлоатации, простотата и ефективността на техниката правят нейното потенциално използване в корпоративни среди тревожно. Организациите трябва да я третират като високо приоритетна при оценка на риска и тестове за проникване.
EDR-Redir V2 демонстрира как нововъведенията във файловата система и namespace управлението могат да породят непредвидени вектори за заобикаляне на EDR. Проактивното наблюдение на bind link дейностите и засиленият интегритетен контрол са ключови контрамерки, докато доставчиците на EDR трябва да адаптират моделите си за защита към тези родителски нива на манипулация.
