- Специальный корреспондент
Как заставить систему защиты "впасть в кому" без единой строчки вредоносного кода.
Специалист Zero Salarium метод, который временно выводит из строя процессы и EDR-агентов на Windows, используя встроенные инструменты системы. В статье подробно описана идея и рабочий инструмент EDR-Freeze — способ прицельно остановить мониторящие процессы без установки дополнительных уязвимых драйверов, полагаясь на поведение штатных компонентов ОС и на "состояние гонки" (race condition) между процессами.
Суть приёма заключается в том, что MiniDumpWriteDump при создании снимка принудительно приостанавливает все потоки целевого процесса, а сопровождающий процесс, который вызывает запись дампа, отвечает за его возобновление. Исследование показывает, как заставить WerFaultSecure работать с правами защищённого процесса (PPL) на уровне WinTCB и инициировать дамп нужного PID, после чего в критический момент приостанавливается сам WerFaultSecure — в результате целевой процесс остается «в коме», потому что инициатор, который мог бы его разблокировать, тоже заморожен.
Для иллюстрации этого подхода автор использует CreateProcessAsPPL, параметры запуска WerFaultSecure, проверку состояния процесса и вызов NtSuspendProcess к процессу-инициатору в нужный момент. Сам механизм не требует сторонних эксплойтов для драйверов и работает в пользовательском режиме, что делает его удобным для быстрых тестов и эскалации возможностей обхода мониторинга.
В работе описан инструмент EDR-Freeze с на GitHub и примерами запуска: утилита принимает PID целевой программы и время паузы в миллисекундах, после чего выполняет описанную гонку и удерживает антивирусный процесс в приостановленном состоянии. В демонстрации показано, что MsMpEng.exe (служба Windows Defender) на Windows 11 24H2 удалось приостановить на заданное время и отследить состояние через Process Explorer. Автор подчёркивает, что техника служит альтернативой BYOVD-подходам и снимает необходимость переносить уязвимые драйверы на тестовую машину.
Специалист рекомендует мониторить аномальные параметры запуска WerFaultSecure: если его аргументы указывают на PID чувствительных служб — LSASS, процессы антивирусов или агенты — это повод для расследования. Также для защиты нужны механизмы контроля цепочек запуска защищённых процессов и проверка необычных последовательностей при создании дампов.
Специалист Zero Salarium метод, который временно выводит из строя процессы и EDR-агентов на Windows, используя встроенные инструменты системы. В статье подробно описана идея и рабочий инструмент EDR-Freeze — способ прицельно остановить мониторящие процессы без установки дополнительных уязвимых драйверов, полагаясь на поведение штатных компонентов ОС и на "состояние гонки" (race condition) между процессами.
Суть приёма заключается в том, что MiniDumpWriteDump при создании снимка принудительно приостанавливает все потоки целевого процесса, а сопровождающий процесс, который вызывает запись дампа, отвечает за его возобновление. Исследование показывает, как заставить WerFaultSecure работать с правами защищённого процесса (PPL) на уровне WinTCB и инициировать дамп нужного PID, после чего в критический момент приостанавливается сам WerFaultSecure — в результате целевой процесс остается «в коме», потому что инициатор, который мог бы его разблокировать, тоже заморожен.
Для иллюстрации этого подхода автор использует CreateProcessAsPPL, параметры запуска WerFaultSecure, проверку состояния процесса и вызов NtSuspendProcess к процессу-инициатору в нужный момент. Сам механизм не требует сторонних эксплойтов для драйверов и работает в пользовательском режиме, что делает его удобным для быстрых тестов и эскалации возможностей обхода мониторинга.
В работе описан инструмент EDR-Freeze с на GitHub и примерами запуска: утилита принимает PID целевой программы и время паузы в миллисекундах, после чего выполняет описанную гонку и удерживает антивирусный процесс в приостановленном состоянии. В демонстрации показано, что MsMpEng.exe (служба Windows Defender) на Windows 11 24H2 удалось приостановить на заданное время и отследить состояние через Process Explorer. Автор подчёркивает, что техника служит альтернативой BYOVD-подходам и снимает необходимость переносить уязвимые драйверы на тестовую машину.
Специалист рекомендует мониторить аномальные параметры запуска WerFaultSecure: если его аргументы указывают на PID чувствительных служб — LSASS, процессы антивирусов или агенты — это повод для расследования. Также для защиты нужны механизмы контроля цепочек запуска защищённых процессов и проверка необычных последовательностей при создании дампов.
