EDR-Redir V2: EDR zaobilaženje
EDR-Redir V2 predstavlja unaprijeđenu tehniku zaobilaženja softvera za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR), koju je demonstrirao sigurnosni istraživač TwoSevenOneT koristeći Windows Bind Filter upravljački softver za preusmjeravanje izvršnih direktorijuma, čime se otvara prostor za zaobilaženje standardnih zaštitnih mehanizama. Ova varijanta u potpunosti funkcioniše u korisničkom režimu, bez potrebe za privilegijama jezgra operativnog sistema, što tradicionalne metode detekcije čini neefikasnim i naglašava potrebu za razvojem naprednijih bezbjednosnih rješenja.
EDR-Redir V2: EDR zaobilaženje; Source: Bing Image Creator
EDR-REDIR V2
Razvoj naprednih tehnika izbjegavanja za softvere za detekciju i odgovor na prijetnje (EDR) postaje sve značajniji u savremenom okruženju sajber bezbjednosti. Jedan od primjera takvih tehnika jeste nadograđeno izdanje alata EDR-Redir V2, osmišljenog da zaobiđe softvere za detekciju i odgovor na prijetnje (EDR) iskorištavanjem Windows bind link tehnologije na inovativan način.
Prema nalazima sigurnosnog istraživača TwoSevenOneT, nova verzija cilja matične direktorijume instalacija softvera za detekciju i odgovor na prijetnje (EDR), poput Program Files, gdje kreira petlje preusmjeravanja. Na taj način zlonamjerni softver biva zamaskiran, a da se pri tome ne narušava rad legitimnih aplikacija. Ovakav pristup predstavlja evoluciju u odnosu na ranije verzije EDR-Redir alata, koje su se oslanjale na direktna preusmjeravanja direktorijuma, ali su često nailazile na blokade zaštitnih mehanizama.
Posebno je značajna upotreba Windows bind link tehnologije u EDR-Redir V2, jer omogućava preusmjeravanje imenskog prostora sistema datoteka putem bindflt.sys upravljačkog softvera, i to bez potrebe za privilegijama jezgra operativnog sistema. Ova funkcionalnost uvedena je u Windows 11 verziji 24H2 i otvara novi prostor za zlonamjerne aktere da razvijaju naprednije tehnike izbjegavanja.
Uloga nadređenih direktorijuma i preusmjeravanje
Softveri za detekciju i odgovor na prijetnje (EDR), poput antivirusnih programa, obično zaključavaju svoje poddirektorijume na lokacijama kao što su Program Files ili ProgramData kako bi spriječili neovlašteno mijenjanje. Ipak, ovakav pristup ima svoja ograničenja, naročito kada je riječ o kontroli pisanja u nadređene direktorijume bez ometanja sistemskih instalacija.
U okviru alata EDR-Redir V2, ciljanje nadređenog direktorijuma predstavlja namjernu strategiju osmišljenu da kreira petlje preusmjeravanja. One omogućavaju da softver koji nije softver za detekciju i odgovor na prijetnje (EDR) nastavi da funkcioniše normalno, dok se istovremeno onemogućava rad bezbjednosnog softvera. Iskorištavanjem ranjivosti u Windows tehnologiji povezivanja, zlonamjerni akteri mogu uspostaviti dvosmjerne veze između poddirektorijuma i njihovih preslikanih kopija, stvarajući petlju koja potkopava tradicionalne mehanizme detekcije. Drugim riječima, dok običan softver radi nesmetano, bezbjednosni softver biva prevaren da učitava zlonamjerne komponente iz preusmjerenog prostora.
Sam proces kojim EDR-Redir V2 uspostavlja petlje preusmjeravanja odvija se u nekoliko koraka. Najprije se ispituju svi poddirektorijumi unutar ciljnog roditeljskog direktorijuma, poput Program Files, a zatim se preslikavaju u kontrolisani direktorijum, na primjer C:\TMP\TEMPDIR.
Nakon toga, alat uspostavlja dvosmjerne veze između preslikanih direktorijuma i originala, čime se formiraju petlje koje održavaju normalan pristup za softver koji nije softver za detekciju i odgovor na prijetnje (EDR). Ovaj proces olakšava funkcija povezivanja u Windows sistemu, koja omogućava preusmjeravanje imenskog prostora sistema datoteka putem upravljačkog softvera bindflt.sys, i to bez potrebe za privilegijama jezgra operativnog sistema.
Poddirektorijumi specifični za softvere za detekciju i odgovor na prijetnje (EDR), poput Windows Defender direktorijuma u C:\ProgramData\Microsoft, izuzeti su iz ovih petlji i preusmjereni isključivo na TEMPDIR kojim upravlja zlonamjerni akter. Na taj način omogućava se DLL otmica ili ispuštanje datoteka u preusmjereni prostor, čime se bezbjednosni softver efikasno vara da učita zlonamjerne komponente.
Dostupnost i testiranje
EDR-Redir V2 alat dostupan je na GitHub skladištu, koje služi kao centralno mjesto za pristup softveru i omogućava korisnicima njegovo preuzimanje radi daljeg testiranja i eksperimentisanja. Ova dostupnost resursa posebno je značajna jer pruža sigurnosnim istraživačima i stručnjacima za bezbjednost priliku da detaljnije prouče mogućnosti EDR-Redir V2 i steknu dragocjene uvide u njegove potencijalne uticaje na otkrivanje ranjivosti krajnjih tačaka i strategije reagovanja.
Pored samog skladišta, istraživačima je na raspolaganju i demo video na YouTube platformi, koji ilustruje proces primjene tehnike EDR-Redir. Ova vizuelna prezentacija omogućava uvid u realnom vremenu u način funkcionisanja metode u okviru predviđenog obima, nudeći dodatne informacije onima koji žele dublje da istraže i analiziraju mogućnosti alata EDR-Redir V2.
Dalja testiranja i analize otvaraju prostor za ispitivanje različitih scenarija u kojima bi EDR-Redir V2 mogao biti iskorišten za zaobilaženje ili onemogućavanje mjera zaštite krajnjih tačaka. Razumijevanjem ovih potencijalnih posljedica, organizacije mogu ponovo procijeniti svoje bezbjednosne strategije i razviti robusne kontraprimjere kako bi ublažile rizike povezane sa ovom tehnikom.
UTICAJ
Pojava alata EDR-Redir V2 predstavlja ozbiljan rizik za bezbjednosni položaj organizacija i pojedinaca, jer ova prijetnja ima dalekosežan uticaj na povjerljivost, integritet i dostupnost podataka. Sposobnost zlonamjernih aktera da preusmjere ili izoluju izvršne datoteke popularnih softvera za detekciju i odgovor na prijetnje (EDR) potkopava samu svrhu ovih zaštitnih mjera, ostavljajući sisteme ranjivim na neotkrivene upade i omogućavajući iskorištavanje slabosti uz relativno mali napor.
Posljedice korištenja EDR-Redir V2 alata višestruke su i mogu imati razarajuće efekte na reputaciju i profit organizacija. Ugrožavanje osjetljivih podataka, intelektualne svojine ili vlasničkih informacija može dovesti do finansijskih gubitaka, regulatornih kazni i gubitka povjerenja kupaca. Dodatno, nemogućnost blagovremenog otkrivanja i reagovanja na bezbjednosne incidente može izazvati produžene zastoje, što direktno utiče na poslovne operacije i produktivnost.
Uticaj na krajnje korisnike podjednako je zabrinjavajući, jer EDR-Redir V2 omogućava zlonamjernim akterima da onemoguće odbranu, ubrizgaju zlonamjerni kôd ili preuzmu procese, a da pritom ostanu neotkriveni. Time se stvara okruženje u kojem su pojedinci izloženi različitim vrstama sajber prijetnji, uključujući phishing prevare, napade ucjenjivačkog softvera (eng. ransomware) i druge oblike zlonamjernog softvera. Posljedice za korisnike mogu biti ozbiljne, od finansijskih gubitaka do emocionalne patnje.
Ako bi došlo do široko rasprostranjenog usvajanja EDR-Redir V2 alata, to bi izazvalo dodatnu zabrinutost u vezi sa efikasnošću tradicionalnih bezbjednosnih mjera. U takvom scenariju, kako zlonamjerni akteri prilagođavaju svoje taktike da bi izbjegli otkrivanje, organizacije bi se suočile s izazovom održavanja robusnog odbrambenog stava. Time bi se stvorio pritisak na bezbjednosne timove da stalno preispitaju i unapređuju svoje strategije kako bi ostali korak ispred novih prijetnji.
Dugoročni uticaj EDR-Redir V2 alata još je zabrinjavajući, jer ova prijetnja ima potencijal da ozbiljno naruši povjerenje u mjere sajber bezbjednosti. Ako zlonamjerni akteri nastave da iskorištavaju ranjivosti u softverima za detekciju i odgovor na prijetnje (EDR), pojedinci i organizacije mogli bi početi da dovode u pitanje efikasnost postojećih protokola, što bi dovelo do smanjenja investicija i podrške za ključne odbrambene mjere.
ZAKLJUČAK
Pejzaž digitalnog prostora obilježava sve veće oslanjanje na softvere za detekciju i odgovor na prijetnje (EDR) kao ključnu komponentu strategija sajber bezbjednosti. Međutim, ova rastuća zavisnost istovremeno otvara nove ranjivosti koje zlonamjerni akteri mogu iskoristiti da bi izbjegli otkrivanje ili manipulisali funkcionalnošću softvera za detekciju i odgovor na prijetnje (EDR). Pojava alata poput EDR-Redir V2 naglašava potrebu za unaprijeđenom zaštitom direktorijuma na koje se odnosi ova prijetnja.
U tom kontekstu, neophodno je razumjeti kako Windows Bind Filter interakcije utiču na efikasnost softvera za detekciju i odgovor na prijetnje (EDR) i koje mjere organizacije mogu preduzeti da bi ublažile takve rizike, budući da upravo upravljački softver Bind Filter ima ključnu ulogu u procesu iskorištavanja ranjivosti u Windows API okruženju. On omogućava pristup datotekama na zahtjev putem datoteka čuvara mjesta, čime se efikasno narušava pristup i izoluju servisi softvera za detekciju i odgovor na prijetnje (EDR) nakon ponovnog pokretanja.
Mjere zaštite u ovom slučaju uključuju reviziju administratorskih privilegija, praćenje neuobičajenih učitavanja upravljačkih softvera i blagovremenu primjenu Windows ispravki. Upotreba alata poput EDR-Redir V2 jasno ističe važnost proaktivnih bezbjednosnih mjera u sprječavanju napada.
Dobavljači softvera za detekciju i odgovor na prijetnje (EDR) moraju da idu dalje od odbrane simboličkih veza u korisničkom režimu kako bi efikasno odgovorili na nove prijetnje. To zahtijeva sveobuhvatnije razumijevanje Windows Bind Filter interakcija i njihovih potencijalnih uticaja na efikasnost softvera za detekciju i odgovor na prijetnje (EDR). Na taj način, dobavljači mogu osigurati da njihovi softveri za detekciju i odgovor na prijetnje (EDR) ostanu djelotvorna zaštita protiv evoluirajućih prijetnji, uključujući i one koje predstavljaju alati poput EDR-Redir V2.
