Windows MiniFilter Hack: Enostavno obidite varnost EDR

Windows MiniFilter Hack: Enostavno obidite varnost EDR

Raziskava: MiniFilter Gonilniki Lahko Onemogočijo EDR Rešitve kot je Sysmon

Raziskava je pokazala, da je mogoče MiniFilter gonilnike, kot je Sysmon, izkoristiti za onemogočanje funkcionalnosti EDR gonilnikov. S strateško dodelitvijo višje vrednosti altitudi drugemu MiniFilterju, se ta lahko naloži pred EDR gonilnikom.

S tem prepreči registracijo EDR gonilnika pri Filter Managerju in učinkovito onemogoči njegove telemetrične zmožnosti, ki uporabljajo hierarhično strukturo MiniFilterjev in njihove edinstvene zahteve po altitudi za motenje normalnega delovanja varnostnih rešitev.

Arhitektura Filter Managerja

Kako izgleda izkoriščanje ranljivosti

Microsoftov MDE ima obrambni mehanizem za preprečevanje posegov v višino svojega gonilnika. Pri poskusu spremembe Sysmonove višine, da bi se ujemala z MDE, je bil proces regedit prekinjen in Sysmonova vnos višine odstranjen.

Vendar pa je bila s pomočjo drugih MiniFilter gonilnikov, kot je FileInfo, sprememba višine uspešna, kar je napadalcu omogočilo odstranitev MDE gonilnika in obvoz njegovega zaščite v realnem času, kar poudarja potencialno ranljivost, ki bi jo lahko izkoristili za kompromitacijo varnosti sistema.

Ukazni poziv

EDR ponudnik X je sprva zaznal druge gonilnike, ki so uporabljali njihovo višino, kar je bilo obvoženo z uporabo različnih tipov registerjev, kot je REG_MULTI_SZ.

Zdaj to omilijo z uporabo višine z decimalno točko, čemur sledi pet dinamično dodeljenih številk, kar preprečuje napadalcem dodeljevanje enake višine drugim MiniFilter gonilnikom.

Nekateri EDR ponudniki so omilili težavo z nastavitvijo vrstnega reda nalaganja, vendar pa je Patrik Jokela to obvozil z modifikacijo višine in drugih vrednosti registrev, ki vplivajo na vrstni red nalaganja.

Tehnični vpogledi v vrstni red nalaganja

Vrstni red nalaganja MiniFilter gonilnikov je odvisen od več dejavnikov, vključno z njihovo dodeljeno skupino in specifičnim vrstnim redom znotraj te skupine. Vrednost “Group” določa splošno članstvo v skupini, medtem ko “GroupOrderList” določa vrstni red skupin.

Ukazni poziv

Vrednost “Start” narekuje, kdaj je gonilnik naložen, z možnostmi kot so “BOOT_START” ali “SYSTEM_START”. Vrednost “Type” določa, ali je gonilnik v kernel načinu ali uporabniškem načinu, kar vpliva na kontekst njegovega nalaganja. Nazadnje, vrednost “Tag” omogoča natančnejši nadzor znotraj skupine, kar omogoča natančen vrstni red nalaganja med gonilniki.

WdFilter je bil naložen pred Sysmon

Omilitveni ukrepi in predlogi

Glede na Tier Zero Security je bila Sysmonova višina prilagojena, da se ujema z WdFilter, vendar je bil WdFilter še vedno naložen prvi. Sysmonove “Start” in “Type” vrednosti so bile že nastavljene na 0 in 1.

Dodali so nov registrski ključ za skupino z vrednostjo REG_SZ “FSFilter Infrastructure”, kar je preprečilo nalaganje WdFilter, kar je zagotovilo, da je bil Sysmon naložen pred WdFilter in učinkovito blokiral njegovo izvedbo.

Ranljivost ostaja grožnja nekaterim ponudnikom, vključno z MDE. Medtem ko je blokiranje zlorabe Sysmon ali spreminjanje vrstnega reda nalaganja MiniFilter gonilnikov EDR neustrezno, lahko uvedeni omilitveni ukrepi EDR ponudnika učinkovito preprečijo to težavo z MiniFilter.

Priprava na prihodnje izzive

SOC ekipe morajo biti pozorne na sumljive spremembe registrev, povezane z altitudo pri vseh MiniFilterjih, ne samo Sysmonu, in se nemudoma odzvati na kakršne koli anomalije.

Leave a Reply

Your email address will not be published. Required fields are marked *