Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Эксперты показали методы обхода EDR-решений через ETW

19/11/21

Windows hack4

Исследователи представили два новых метода атак, которые позволяют "ослепить" решения безопасности. Атаки базируются на отключении механизма регистрации Event Tracing for Windows (ETW).

ETW, присутствующий в Windows еще со времен Windows XP, предназначен для отслеживания и регистрации событий, связанных с приложениями в пользовательском режиме и драйверами в режиме ядра. ETW в Windows 11 может собирать более 50 тыс. типов событий почти из 1000 источников, включая ОС, сервисы, инструменты безопасности, популярные приложения, DLL, ядро ОС и драйверы.

ETW используется несколькими решениями для обнаружения и реагирования на угрозы безопасности конечных (EDR) с целью мониторинга связанных с безопасностью событий и выявления вредоносного ПО.

Новые методы атак на ETW были представлены на прошлой неделе на конференции по кибербезопасности Black Hat Europe специалистами ИБ-компании Binarly. Исследователи показали, как с помощью атак на ETW можно обойти Microsoft Process Monitor и Windows Defender.

В случае с утилитой Process Monitor (пользуется большой популярностью для анализа вредоносного ПО) исследователи продемонстрировали, как вредоносное приложение с привилегиями администратора на атакуемой системе может остановить запущенный сеанс ETW, связанный с Process Monitor, и запустить поддельный сеанс. В результате утилита больше не будет получать телеметрические данные о сетевой активности ( по сути, оно "ослеплено" злоумышленниками). Перезапуск Process Monitor не решает проблему.

В случае с Windows Defender исследователи продемонстрировали, как "ослепить" антивирус путем присвоение нуля значениям реестра, которые соответствуют сеансам ETW. Это может сделать вредоносный драйвер ядра, модифицировав (в памяти ядра) поля в структурах ядра, соответствующие сеансам Windows Defender ETW.

Специалисты опубликовали методы атак в своем блоге, а также представили инструменты с открытым исходным кодом для выявления и предотвращения атак ETW. Эти инструменты станут доступными уже в ближайшее время.

Хотя опубликованные в блоге и представленные на конференции методы сфокусированы на Process Monitor и Windows Defender, исследователи отметили, что атаки такого типа могут отключать целый класс решений безопасности.

Компания Microsoft обычно не рассматривает подобные проблемы проектирования или архитектуры как уязвимости безопасности.

По словам исследователей, в настоящее время никаких признаков того, что представленные исследователями методы использовались в реальных атаках, не обнаружено. Однако, признаки эксплуатации обнаружить очень сложно, ведь их целью как раз является отключение EDR.

Темы:WindowsУгрозы
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...