Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN