EDR-Freeze là một công cụ proof-of-concept (PoC) được thiết kế để tạm thời vô hiệu hóa các tiến trình Endpoint Detection and Response (EDR) hoặc phần mềm diệt virus. Thay vì cài đặt driver dễ bị tổn thương, công cụ này tận dụng các thành phần Báo cáo Lỗi của Windows hợp pháp, cụ thể là WerFaultSecure.exe và API MiniDumpWriteDump, để tạm dừng các tiến trình bảo mật từ chế độ người dùng.

Bằng cách điều chỉnh thời điểm các luồng thực thi, EDR-Freeze đình chỉ tất cả các luồng làm việc trong tiến trình mục tiêu, làm gián đoạn việc thu thập dữ liệu telemetry trong khi tiến trình vẫn còn tồn tại. Sau một khoảng thời gian trì hoãn có thể cấu hình, tiến trình sẽ tiếp tục hoạt động bình thường, thường mà không gây ra bất kỳ cảnh báo nào.

Tổng quan về EDR-Freeze

Công cụ EDR-Freeze khai thác một kỹ thuật tinh vi để vượt qua các biện pháp bảo vệ endpoint. Cuộc tấn công bắt đầu khi EDR-Freeze_1.0.exe khởi chạy WerFaultSecure.exe dưới vỏ bọc của Windows Error Reporting.

Kỹ thuật này đặc biệt hiệu quả vì nó sử dụng các binary của hệ điều hành được tin cậy, giúp nó khó bị phát hiện hơn so với các phương pháp dựa trên cài đặt driver độc hại. Mục tiêu chính là làm gián đoạn khả năng giám sát và phản ứng của các hệ thống bảo mật EDR.

Cơ chế hoạt động của EDR-Freeze

Tận dụng WerFaultSecure.exe và MiniDumpWriteDump

Trong quá trình hoạt động, WerFaultSecure.exe tải dbghelp.dll và gọi hàm MiniDumpWriteDump. Mặc dù thông thường được sử dụng để ghi các bản ghi sự cố (crash dump), MiniDumpWriteDump có chức năng tạm dừng mọi luồng trong tiến trình mục tiêu trong suốt quá trình tạo dump.

Kỹ thuật EDR-Freeze tận dụng cơ chế này. Bằng cách chuyển các handle trực tiếp đến các luồng của tiến trình mục tiêu, tiến trình trợ giúp có thể tạm dừng và sau đó tiếp tục hoạt động của công cụ bảo mật, ví dụ như MsMpEng.exe (Windows Defender).

Thao tác trên tiến trình bảo mật

Trong Process Explorer, cả WerFaultSecure.exe và MsMpEng.exe đều hiển thị trạng thái bị đình chỉ. Việc sử dụng các thành phần tích hợp sẵn của hệ điều hành làm cho kỹ thuật EDR-Freeze trở nên lén lút và có khả năng vượt qua nhiều biện pháp phòng thủ endpoint.

Với EDR-Freeze, kẻ tấn công có thể tạm thời vô hiệu hóa khả năng phát hiện xâm nhập, tạo cơ hội cho các hoạt động độc hại khác diễn ra mà không bị giám sát. Điều này đặt ra thách thức lớn cho các đội ngũ an ninh mạng.

Phân tích kỹ thuật và dấu hiệu nhận biết

Bằng chứng từ phân tích bộ nhớ

Một cuộc phân tích bộ nhớ có kiểm soát cho thấy rõ ràng các dấu hiệu của việc đóng băng. Sử dụng MemProcFS, ba luồng của MsMpEng.exe (TIDs 764, 4244, và 7980) hiển thị dấu thời gian bị đình chỉ trong khoảng từ 08:35:08 đến 08:35:31, sau đó là việc đình chỉ luồng của WerFaultSecure.exe vào lúc 08:35:41.

Những sự kiện có dấu thời gian trùng khớp này xác nhận rằng tiến trình trợ giúp đã điều khiển việc tạm dừng. Các dấu hiệu này củng cố bằng chứng về hoạt động của EDR-Freeze.

Phân tích Handles và API

Plugin windows.handles của Volatility tiết lộ rằng WerFaultSecure.exe đã mở một handle PROCESS_SUSPEND_RESUME trên MsMpEng.exe với access mask là 0x18C4A, cùng với THREAD_ALL_ACCESS trên nhiều luồng. Các handle này cho phép các hoạt động đình chỉ và tiếp tục luồng một cách chính xác.

Để biết thêm chi tiết về điều tra kỹ thuật này, bạn có thể tham khảo bài viết của nhà nghiên cứu: EDR-Freeze Investigation.

Dấu vết tập tin tạm thời và IAT

Trong quá trình thực thi, cả hai tiến trình (EDR-Freeze và tiến trình mục tiêu) đều mở một handle tệp ngắn gọn đến t.txt trong thư mục Desktop của người dùng. Tệp tạm thời này được sử dụng để truyền dữ liệu dump được mã hóa trước khi bị xóa.

Mặc dù bản thân nó không độc hại, t.txt vẫn là một dấu vết pháp y có giá trị. Kiểm tra bảng địa chỉ import (IAT) của WerFaultSecure.exe cho thấy một import tĩnh của MiniDumpWriteDump từ dbghelp.dll. Import này là bằng chứng cho thấy binary trợ giúp có thể kích hoạt minidump và do đó tạm dừng các luồng theo yêu cầu.

Các nhà điều tra nên lưu giữ bất kỳ phần còn lại nào của t.txt và dấu thời gian của nó, cũng như các mục IAT cho thấy việc sử dụng MiniDumpWriteDump. Điều này có thể cung cấp bằng chứng quan trọng cho việc phát hiện xâm nhập.

Chiến lược phát hiện và phòng ngừa

Quy tắc YARA

Các quy tắc YARA tĩnh nhắm mục tiêu WerFaultSecure.exe có thể giúp gắn cờ sự hiện diện của các cờ dòng lệnh chính như “/pid”, “/tid”, “/encfile”, và “/cancel”, cùng với các import cho CreateFileW, CreateEventW, và MiniDumpWriteDump.

rule EDR_Freeze_WerFaultSecure
{
    strings:
        $cmd1 = "/pid"
        $cmd2 = "/tid"
        $cmd3 = "/encfile"
        $cmd4 = "/cancel"
        $imp1 = "CreateFileW"
        $imp2 = "CreateEventW"
        $imp3 = "MiniDumpWriteDump"
    condition:
        uint16(0) == 0x5A4D and
        (all of ($cmd*) or all of ($imp*))
}

Trong các thử nghiệm, những quy tắc này đã xác định được cả tiến trình trợ giúp và các luồng MsMpEng.exe bị đình chỉ, trong khi không có kết quả nào trên một ảnh hệ thống sạch. Việc tích hợp các quy tắc này vào quy trình săn lùng mối đe dọa trên endpoint có thể giúp phát hiện hoạt động EDR-Freeze ngay cả khi dữ liệu telemetry bị chặn.

Mở rộng hoạt động săn lùng mối đe dọa

EDR-Freeze chứng minh rằng kẻ tấn công có thể vũ khí hóa các thành phần hệ điều hành đáng tin cậy để làm suy yếu các công cụ bảo mật mà không cần khai thác lỗ hổng kernel. Bằng cách đẩy các tiến trình vào trạng thái tạm dừng có thể đảo ngược, kẻ thù giành được sự tàng hình trong các giai đoạn quan trọng của cuộc tấn công.

Các nhà phòng thủ cần mở rộng các cuộc điều tra sang phân tích pháp y bộ nhớ và săn lùng hành vi để bắt kịp các trạng thái tạm dừng nhất thời như vậy. Điều này đảm bảo khả năng hiển thị liên tục của các biện pháp kiểm soát bảo mật EDR trong quá trình ứng phó sự cố và nâng cao khả năng phát hiện xâm nhập.