- 23,456
- 46
- 8 Ноя 2022
Обнаружен способ отключать Windows Defender через системное API Bindlink.
Иногда, чтобы «выключить» защиту на Windows, не нужно ломать антивирус напрямую. Достаточно сделать так, чтобы он не смог нормально стартовать. Специалист под ником Two Seven One Three (TwoSevenOneT) выложил на GitHub инструмент EDRStartupHinder , который нацелен именно на это: он мешает антивирусам и EDR запускаться при загрузке системы, используя легитимный механизм перенаправления путей в Windows.
Суть идеи завязана на Bindlink: это API, которое позволяет «привязать» локальный виртуальный путь к другому месту, то есть прозрачно перенаправлять обращения к файлам. Microsoft описывает Bind Links как способ редиректа пространства имен файловой системы через драйвер bindflt.sys, изначально это нужно для совместимости и сценариев, где файлы должны «выглядеть» локальными, даже если физически лежат в другом месте.
Авторы EDRStartupHinder используют такой механизм в атакующем сценарии: во время старта Windows инструмент создает перенаправление для одной из критически важных DLL из System32 так, чтобы целевой защитный процесс получил «неподходящую» версию библиотеки и завершился. В описании проекта прямо говорится, что инструмент предотвращает запуск Antivirus и EDR, перенаправляя ключевую DLL из System32 в другое расположение на этапе загрузки.
Почему это вообще работает против современных продуктов? В статье Zero Salarium, на которую ссылается репозиторий, объясняется логика: многие защитные процессы стартуют как PPL (Protected Process Light) и строже относятся к тому, что именно им разрешено загружать. Если на раннем этапе подменить критическую зависимость так, чтобы она не проходила проверку, процесс защиты может «самоустраниться» еще до того, как успеет поднять свои механизмы самозащиты. Автор утверждает, что проверял подход на Windows Defender в Windows 11 25H2 и отдельно отмечает, что тестировал технику и на нескольких коммерческих решениях, но без раскрытия названий.
Релиз «Version 1.0» появился 11 января 2026 года. Это еще один пример того, как функции, задуманные для удобства и совместимости, становятся инструментом обхода защиты, особенно когда речь идет о ранней фазе загрузки, где у атакующего появляется шанс оказаться "первым".
С практической точки зрения для защитников здесь важен не конкретный бинарник, а сам класс техники. В той же публикации Zero Salarium в качестве базовой защиты предлагается внимательно отслеживать использование Bindlink (в частности, активность вокруг bindlink.dll) и появление подозрительных служб, которые могут запускаться очень рано, еще до компонентов EDR . Если в инфраструктуре внезапно появляются странные сервисы "для совместимости", а на машине одновременно пропадает штатная защита после перезагрузки, это ровно тот тип цепочки, который стоит проверять в первую очередь.
Иногда, чтобы «выключить» защиту на Windows, не нужно ломать антивирус напрямую. Достаточно сделать так, чтобы он не смог нормально стартовать. Специалист под ником Two Seven One Three (TwoSevenOneT) выложил на GitHub инструмент EDRStartupHinder , который нацелен именно на это: он мешает антивирусам и EDR запускаться при загрузке системы, используя легитимный механизм перенаправления путей в Windows.
Суть идеи завязана на Bindlink: это API, которое позволяет «привязать» локальный виртуальный путь к другому месту, то есть прозрачно перенаправлять обращения к файлам. Microsoft описывает Bind Links как способ редиректа пространства имен файловой системы через драйвер bindflt.sys, изначально это нужно для совместимости и сценариев, где файлы должны «выглядеть» локальными, даже если физически лежат в другом месте.
Авторы EDRStartupHinder используют такой механизм в атакующем сценарии: во время старта Windows инструмент создает перенаправление для одной из критически важных DLL из System32 так, чтобы целевой защитный процесс получил «неподходящую» версию библиотеки и завершился. В описании проекта прямо говорится, что инструмент предотвращает запуск Antivirus и EDR, перенаправляя ключевую DLL из System32 в другое расположение на этапе загрузки.
Почему это вообще работает против современных продуктов? В статье Zero Salarium, на которую ссылается репозиторий, объясняется логика: многие защитные процессы стартуют как PPL (Protected Process Light) и строже относятся к тому, что именно им разрешено загружать. Если на раннем этапе подменить критическую зависимость так, чтобы она не проходила проверку, процесс защиты может «самоустраниться» еще до того, как успеет поднять свои механизмы самозащиты. Автор утверждает, что проверял подход на Windows Defender в Windows 11 25H2 и отдельно отмечает, что тестировал технику и на нескольких коммерческих решениях, но без раскрытия названий.
Релиз «Version 1.0» появился 11 января 2026 года. Это еще один пример того, как функции, задуманные для удобства и совместимости, становятся инструментом обхода защиты, особенно когда речь идет о ранней фазе загрузки, где у атакующего появляется шанс оказаться "первым".
С практической точки зрения для защитников здесь важен не конкретный бинарник, а сам класс техники. В той же публикации Zero Salarium в качестве базовой защиты предлагается внимательно отслеживать использование Bindlink (в частности, активность вокруг bindlink.dll) и появление подозрительных служб, которые могут запускаться очень рано, еще до компонентов EDR . Если в инфраструктуре внезапно появляются странные сервисы "для совместимости", а на машине одновременно пропадает штатная защита после перезагрузки, это ровно тот тип цепочки, который стоит проверять в первую очередь.
- Источник новости
- www.securitylab.ru
