นักวิจัยพบวิธีการโจมตีรูปแบบใหม่ รวมถึงมีการทดสอบ Proof-of-Concept (PoC) ที่มีชื่อว่า EDR-Freeze ซึ่งมีความสามารถในการหลบหลีกการตรวจจับจากอุปกรณ์ Security และสามารถทำได้จาก User Mode ด้วยระบบ Windows Error Reporting (WER) system ของ Microsoft
เทคนิคดังกล่าวช่วยลดความจำเป็นในการใช้ไดรเวอร์ที่มีช่องโหว่ในการโจมตี และทำให้ Security Agent เช่น Endpoint Detection and Response (EDR) เข้าสู่โหมด hibernation
นักวิจัยด้านความปลอดภัยจาก TwoSevenOneThree (Zero Salarium) ได้ค้นพบวิธีการหยุดการทำงานของ EDR และ Antivirus ได้อย่างไม่มีกำหนด ด้วยการใช้ WER framework ร่วมกับ MiniDumpWriteDump API
โดยปกติแล้ว วิธีการปิดใช้งาน EDR ที่มีอยู่ในปัจจุบันมักใช้เทคนิค “Bring Your Own Vulnerable Driver” (BYOVD) ซึ่ง Hacker จะนำ Kernel Driver ที่มีช่องโหว่ไปใช้ในการโจมตีเพื่อยกระดับสิทธิ์
ซึ่งข้อเสียสำคัญของการโจมตีแบบ BYOVD คือความจำเป็นในการแอบติดตั้ง Driver ไปยังระบบเป้าหมาย, การ bypass execution protection และการลบข้อมูลในระดับ Kernel ที่อาจทำให้ถูกตรวจจับได้
EDR-Freeze ถูกอธิบายว่าเป็นวิธีที่แนบเนียนกว่ามาก ไม่จำเป็นต้องใช้ Kernel Driver ทำงานทั้งหมดจาก User Mode และใช้ประโยชน์จาก Windows Components ซึ่งมีอยู่ในระบบปฏิบัติการตามค่าเริ่มต้น
วิธีการทำงานของ EDR-Freeze
WerFaultSecure เป็น Windows Error Reporting component ที่ทำงานด้วยสิทธิ์ Protected Process Light (PPL) ซึ่งออกแบบมาเพื่อรวบรวมข้อมูล crash dumps ของ sensitive system processes เพื่อวัตถุประสงค์ในการ debugging และ diagnostic
MiniDumpWriteDump เป็น API ใน DbgHelp library ที่สร้าง snapshot (“minidump”) ของหน่วยความจำ และสถานะของ process ขณะดำเนินการดังกล่าว ระบบจะ suspends threads ทั้งหมดของ process เป้าหมาย และกลับมาทำงานต่อหลังจาก job เสร็จสิ้น
EDR-Freeze ใช้ WerFaultSecure เพื่อเรียกใช้ MiniDumpWriteDump ซึ่งจะ suspends threads ทั้งหมดใน process เป้าหมายชั่วคราวในขณะที่กำลังเขียนข้อมูล dump
ในระหว่างกระบวนการนี้ ผู้โจมตีจะ suspends WerFaultSecure process เอง ดังนั้น dumper จะไม่กลับมาทำงานต่อ ทำให้ AV หรือ EDR อยู่ใน “coma” state
นักวิจัยอธิบายว่านี่เป็นการโจมตีแบบ Race Condition ที่สามารถ reproduced ได้ในสี่ขั้นตอน
- การสร้าง WerFaultSecure เป็น PPL
- ส่งอาร์กิวเมนต์ไปยัง WerFaultSecure เพื่อเรียกใช้ MiniDumpWriteDump บน PID ของเป้าหมาย
- สำรวจเป้าหมายจนกว่าจะถูกระงับโดยการ dump operation
- เปิด WerFaultSecure (PROCESS_SUSPEND_RESUME) ทันที และเรียกใช้ NtSuspendProcess เพื่อหยุดการทำงานของ dumper
นักวิจัยยังได้เผยแพร่เครื่องมือที่ดำเนินการเหล่านี้ และทดสอบบน Windows 11 24H2 ซึ่งสามารถหยุดการทำงานของ Windows Defender ได้สำเร็จ
การป้องกัน EDR-Freeze สามารถทำได้โดยการตรวจสอบว่า WER มีการเชื่อมโยงไปยัง sensitive process เช่น LSASS หรือ security tools หรือไม่ เพื่อจุดประสงค์นี้ Steven Lim สตีเวน ลิม นักวิจัยด้านความปลอดภัย ได้พัฒนาเครื่องมือที่เชื่อมโยง WerFaultSecure กับ Microsoft Defender Endpoint processes
อย่างไรก็ตาม Microsoft สามารถดำเนินการเพื่อเพิ่มความปลอดภัยให้กับ Windows Components เหล่านี้เพื่อป้องกันการโจมตีได้ เช่น การบล็อกการเรียกใช้ที่น่าสงสัย, การอนุญาตเฉพาะ PID บางตัวเท่านั้น หรือการจำกัดพารามิเตอร์ที่เป็นไปได้
อัปเดต 26 กันยายน 2025
โฆษกของ Microsoft ระบุว่า ** “ลูกค้าที่ใช้ Microsoft Defender จะไม่ได้รับผลกระทบจากเครื่องมือนี้ และความพยายามใด ๆ ก็ตามจะถูกตรวจพบ และบล็อกก่อนดำเนินการ บริษัทจะยังคงประเมิน และเสริมความแข็งแกร่งให้กับ Windows เพื่อรับมือกับการโจมตีนี้ และเทคนิคการโจมตีอื่น ๆ ที่อาจเกิดขึ้น”
ที่มา : bleepingcomputer
You must be logged in to post a comment.