Эксперты показали методы обхода EDR-решений через ETW

Исследователи представили два новых метода атак, которые позволяют "ослепить" решения безопасности. Атаки базируются на отключении механизма регистрации Event Tracing for Windows (ETW).

ETW, присутствующий в Windows еще со времен Windows XP, предназначен для отслеживания и регистрации событий, связанных с приложениями в пользовательском режиме и драйверами в режиме ядра. ETW в Windows 11 может собирать более 50 тыс. типов событий почти из 1000 источников, включая ОС, сервисы, инструменты безопасности, популярные приложения, DLL, ядро ОС и драйверы.

ETW используется несколькими решениями для обнаружения и реагирования на угрозы безопасности конечных (EDR) с целью мониторинга связанных с безопасностью событий и выявления вредоносного ПО.

Новые методы атак на ETW были представлены на прошлой неделе на конференции по кибербезопасности Black Hat Europe специалистами ИБ-компании Binarly. Исследователи показали, как с помощью атак на ETW можно обойти Microsoft Process Monitor и Windows Defender.

В случае с утилитой Process Monitor (пользуется большой популярностью для анализа вредоносного ПО) исследователи продемонстрировали, как вредоносное приложение с привилегиями администратора на атакуемой системе может остановить запущенный сеанс ETW, связанный с Process Monitor, и запустить поддельный сеанс. В результате утилита больше не будет получать телеметрические данные о сетевой активности ( по сути, оно "ослеплено" злоумышленниками). Перезапуск Process Monitor не решает проблему.

В случае с Windows Defender исследователи продемонстрировали, как "ослепить" антивирус путем присвоение нуля значениям реестра, которые соответствуют сеансам ETW. Это может сделать вредоносный драйвер ядра, модифицировав (в памяти ядра) поля в структурах ядра, соответствующие сеансам Windows Defender ETW.

Специалисты опубликовали методы атак в своем блоге, а также представили инструменты с открытым исходным кодом для выявления и предотвращения атак ETW. Эти инструменты станут доступными уже в ближайшее время.

Хотя опубликованные в блоге и представленные на конференции методы сфокусированы на Process Monitor и Windows Defender, исследователи отметили, что атаки такого типа могут отключать целый класс решений безопасности.

Компания Microsoft обычно не рассматривает подобные проблемы проектирования или архитектуры как уязвимости безопасности.

По словам исследователей, в настоящее время никаких признаков того, что представленные исследователями методы использовались в реальных атаках, не обнаружено. Однако, признаки эксплуатации обнаружить очень сложно, ведь их целью как раз является отключение EDR.