Raziskava: MiniFilter Gonilniki Lahko Onemogočijo EDR Rešitve kot je Sysmon
Raziskava je pokazala, da je mogoče MiniFilter gonilnike, kot je Sysmon, izkoristiti za onemogočanje funkcionalnosti EDR gonilnikov. S strateško dodelitvijo višje vrednosti altitudi drugemu MiniFilterju, se ta lahko naloži pred EDR gonilnikom.
S tem prepreči registracijo EDR gonilnika pri Filter Managerju in učinkovito onemogoči njegove telemetrične zmožnosti, ki uporabljajo hierarhično strukturo MiniFilterjev in njihove edinstvene zahteve po altitudi za motenje normalnega delovanja varnostnih rešitev.
Kako izgleda izkoriščanje ranljivosti
Microsoftov MDE ima obrambni mehanizem za preprečevanje posegov v višino svojega gonilnika. Pri poskusu spremembe Sysmonove višine, da bi se ujemala z MDE, je bil proces regedit prekinjen in Sysmonova vnos višine odstranjen.
Vendar pa je bila s pomočjo drugih MiniFilter gonilnikov, kot je FileInfo, sprememba višine uspešna, kar je napadalcu omogočilo odstranitev MDE gonilnika in obvoz njegovega zaščite v realnem času, kar poudarja potencialno ranljivost, ki bi jo lahko izkoristili za kompromitacijo varnosti sistema.
EDR ponudnik X je sprva zaznal druge gonilnike, ki so uporabljali njihovo višino, kar je bilo obvoženo z uporabo različnih tipov registerjev, kot je REG_MULTI_SZ.
Zdaj to omilijo z uporabo višine z decimalno točko, čemur sledi pet dinamično dodeljenih številk, kar preprečuje napadalcem dodeljevanje enake višine drugim MiniFilter gonilnikom.
Nekateri EDR ponudniki so omilili težavo z nastavitvijo vrstnega reda nalaganja, vendar pa je Patrik Jokela to obvozil z modifikacijo višine in drugih vrednosti registrev, ki vplivajo na vrstni red nalaganja.
Tehnični vpogledi v vrstni red nalaganja
Vrstni red nalaganja MiniFilter gonilnikov je odvisen od več dejavnikov, vključno z njihovo dodeljeno skupino in specifičnim vrstnim redom znotraj te skupine. Vrednost “Group” določa splošno članstvo v skupini, medtem ko “GroupOrderList” določa vrstni red skupin.
Vrednost “Start” narekuje, kdaj je gonilnik naložen, z možnostmi kot so “BOOT_START” ali “SYSTEM_START”. Vrednost “Type” določa, ali je gonilnik v kernel načinu ali uporabniškem načinu, kar vpliva na kontekst njegovega nalaganja. Nazadnje, vrednost “Tag” omogoča natančnejši nadzor znotraj skupine, kar omogoča natančen vrstni red nalaganja med gonilniki.
Omilitveni ukrepi in predlogi
Glede na Tier Zero Security je bila Sysmonova višina prilagojena, da se ujema z WdFilter, vendar je bil WdFilter še vedno naložen prvi. Sysmonove “Start” in “Type” vrednosti so bile že nastavljene na 0 in 1.
Dodali so nov registrski ključ za skupino z vrednostjo REG_SZ “FSFilter Infrastructure”, kar je preprečilo nalaganje WdFilter, kar je zagotovilo, da je bil Sysmon naložen pred WdFilter in učinkovito blokiral njegovo izvedbo.
Ranljivost ostaja grožnja nekaterim ponudnikom, vključno z MDE. Medtem ko je blokiranje zlorabe Sysmon ali spreminjanje vrstnega reda nalaganja MiniFilter gonilnikov EDR neustrezno, lahko uvedeni omilitveni ukrepi EDR ponudnika učinkovito preprečijo to težavo z MiniFilter.
Priprava na prihodnje izzive
SOC ekipe morajo biti pozorne na sumljive spremembe registrev, povezane z altitudo pri vseh MiniFilterjih, ne samo Sysmonu, in se nemudoma odzvati na kakršne koli anomalije.