API Bind Link позволяет хакерам проникать в устройства с Windows 11

Хакеры нашли способ обходить защиту Windows 11 с помощью API Bind Link. Файлы из сетевого ресурса отображаются как локальные. Злоумышленники перенаправляют папку с файлами EDR в папку, куда имеют доступ на запись. Приложения на Windows устанавливаются в папки Program Files, Program Files (x86) и ProgramData. EDR тоже размещаются там. Запись в эти папки ограничена для защиты от вмешательства.

В Purple Team рассмотрели в своем отчёте технику обхода EDR в Windows 11. Исследователь с ником TwoSevenOneT создал инструмент EDR-Redir, написанный на C++. Он использует драйвер bindflt.sys. EDR-Redir перенаправляет папку EDR в доступную для записи. Это позволяет подделать EDR или выполнить код. Для запуска указывают виртуальный путь, резервный и путь исключения.

После перенаправления «Защитник Windows» видит произвольную родительскую папку. В сценариях обхода EDR используют только виртуальный и резервный пути. Злоумышленники могут поместить вредоносную DLL в поддельную папку. Это имитирует модуль EDR. DLL перехватывает загрузку для постоянной активности. Также злоумышленники устанавливают исполняемый файл для запуска кода в контексте EDR.

По словам специалистов по кибербезопасности, созданный EDR-Redir не подписан доверенным центром. Поэтому большинство EDR блокируют его. Однако продвинутые злоумышленники подписывают файлы, и EDR не считают эти файлы вредоносными.