Эксперты показали методы обхода EDR-решений через ETW

Эксперты показали методы обхода EDR-решений через ETW

Атаки базируются на отключении механизма регистрации Event Tracing for Windows (ETW).

image

Исследователи представили два новых метода атак, которые позволяют "ослепить" решения безопасности. Атаки базируются на отключении механизма регистрации Event Tracing for Windows (ETW).

ETW, присутствующий в Windows еще со времен Windows XP, предназначен для отслеживания и регистрации событий, связанных с приложениями в пользовательском режиме и драйверами в режиме ядра. ETW в Windows 11 может собирать более 50 тыс. типов событий почти из 1000 источников, включая ОС, сервисы, инструменты безопасности, популярные приложения, DLL, ядро ОС и драйверы.

ETW используется несколькими решениями для обнаружения и реагирования на угрозы безопасности конечных (EDR) с целью мониторинга связанных с безопасностью событий и выявления вредоносного ПО.

Новые методы атак на ETW были представлены на прошлой неделе на конференции по кибербезопасности Black Hat Europe специалистами ИБ-компании Binarly. Исследователи показали, как с помощью атак на ETW можно обойти Microsoft Process Monitor и Windows Defender.

В случае с утилитой Process Monitor (пользуется большой популярностью для анализа вредоносного ПО) исследователи продемонстрировали, как вредоносное приложение с привилегиями администратора на атакуемой системе может остановить запущенный сеанс ETW, связанный с Process Monitor, и запустить поддельный сеанс. В результате утилита больше не будет получать телеметрические данные о сетевой активности ( по сути, оно "ослеплено" злоумышленниками). Перезапуск Process Monitor не решает проблему.

В случае с Windows Defender исследователи продемонстрировали, как "ослепить" антивирус путем присвоение нуля значениям реестра, которые соответствуют сеансам ETW. Это может сделать вредоносный драйвер ядра, модифицировав (в памяти ядра) поля в структурах ядра, соответствующие сеансам Windows Defender ETW.

Специалисты опубликовали методы атак в своем блоге, а также представили инструменты с открытым исходным кодом для выявления и предотвращения атак ETW. Эти инструменты станут доступными уже в ближайшее время.

Хотя опубликованные в блоге и представленные на конференции методы сфокусированы на Process Monitor и Windows Defender, исследователи отметили, что атаки такого типа могут отключать целый класс решений безопасности.

Компания Microsoft обычно не рассматривает подобные проблемы проектирования или архитектуры как уязвимости безопасности.

По словам исследователей, в настоящее время никаких признаков того, что представленные исследователями методы использовались в реальных атаках, не обнаружено. Однако, признаки эксплуатации обнаружить очень сложно, ведь их целью как раз является отключение EDR.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!