ApplePlanet.PL
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI
No Result
View All Result
  • Apple
  • Nauka i technika
  • Sztuczna inteligencja AI
  • Security
  • Gry
  • Smartfony
  • Komputery & Tablety
  • Lora
środa, 15 lipca, 2026
  • Apple
  • Nauka i technika
  • Sztuczna inteligencja AI
  • Security
  • Gry
  • Smartfony
  • Komputery & Tablety
  • Lora
No Result
View All Result
ApplePlanet.PL
No Result
View All Result
Home Security

Ataki typu Windows Bind Link pozwalają ukryć złośliwe oprogramowanie przed systemami EDR

od Pan z ApplePlanet
15 lipca, 2026
w Security
0
Ataki typu Windows Bind Link pozwalają ukryć złośliwe oprogramowanie przed systemami EDR
465
SHARES
1.5k
VIEWS
Udostępnij na FacebookuUdostępnij na Tweeterze

Badacze bezpieczeństwa z firmy Bitdefender zidentyfikowali trzy zaawansowane techniki ataku, które wykorzystują mechanizm powiązań typu bind links w systemie Windows do skutecznego ukrywania złośliwego oprogramowania przed narzędziami klasy EDR (Endpoint Detection and Response). Bind links to legalna funkcja systemu, obsługiwana przez sterownik bindflt.sys, wykorzystywana m.in. przez aplikacje ze sklepu Microsoft Store, Windows Sandbox oraz kontenery. Mechanizm ten działa na poziomie jądra systemu, tworząc wirtualną ścieżkę, która w sposób przezroczysty przekierowuje operacje na rzeczywisty plik.

Mechanizm manipulacji ścieżkami

Problem bezpieczeństwa pojawia się w momencie, gdy atakujący zmodyfikuje powiązanie tak, aby wirtualna ścieżka wskazywała na plik kontrolowany przez przestępcę. W takiej sytuacji system operacyjny oraz większość zabezpieczeń widzi jedynie zaufaną, poprawną ścieżkę, podczas gdy w rzeczywistości wykonywany jest ukryty kod. Ponieważ systemy obronne w dużej mierze opierają się na weryfikacji ścieżek plików, zmanipulowane powiązania są często ignorowane jako zaufane elementy systemu.

Microsoft ocenił te ustalenia jako zagrożenie o niskim stopniu ważności, argumentując to koniecznością posiadania uprawnień administratora do przeprowadzenia ataku. Eksperci z Bitdefendera wskazują jednak, że uzyskanie takich uprawnień jest standardowym etapem działań współczesnych grup przestępczych, często wykorzystujących do tego celu podatne sterowniki w ramach metody BYOVD (Bring Your Own Vulnerable Driver).

Trzy techniki ataku

Badacze opisali trzy metody wykorzystania bind links, z których każda służy innemu celowi w procesie infekcji:

  • File-binding (przejęcie ścieżki): Polega na przekierowaniu zaufanego pliku (np. biblioteki DLL) na złośliwy odpowiednik. Przykładem jest obejście interfejsu AMSI (Antimalware Scan Interface), gdzie PowerShell zamiast oryginalnej biblioteki amsi.dll ładuje plik podstawiony przez atakującego, co pozwala na neutralizację skanowania skryptów bez ingerencji w sam proces PowerShella.
  • Process-binding: Technika ta dotyczy plików wykonywalnych. EDR, sprawdzając ścieżkę uruchamianego procesu, otrzymuje informację o zaufanym pliku (np. winver.exe), podczas gdy w rzeczywistości wykonywany jest ukryty kod. Narzędzia monitorujące „wierzą”, że analizują bezpieczny proces, co pozwala złośliwemu oprogramowaniu pozostać niewidocznym.
  • Silo-binding: Najbardziej zaawansowana metoda, wymagająca stworzenia izolowanego środowiska (silo). Pozwala ona na uzyskanie dwóch różnych widoków systemu plików: wewnątrz izolacji ścieżka prowadzi do złośliwego ładunku, natomiast na zewnątrz – do oryginalnego, czystego pliku. Dzięki temu nawet jeśli skaner spróbuje zweryfikować plik, zostanie przekierowany do bezpiecznej wersji, co skutecznie maskuje obecność malware’u.
  • Wewnątrz silo, otwarcie zaufanej ścieżki prowadzi do ładunku, więc złośliwy kod jest uruchamiany. Poza silo, każde narzędzie szukające tego ładunku jest po cichu przekierowywane do czystego oryginału.

    Skuteczność w omijaniu zabezpieczeń

    Zastosowanie techniki silo-binding pozwala atakującym na omijanie kluczowych mechanizmów obronnych systemu Windows, takich jak AppLocker, Windows Firewall czy Sysmon. W testach przeprowadzonych przez Bitdefender, standardowe narzędzie Mimikatz, które normalnie jest natychmiast wykrywane przez systemy EDR, po zastosowaniu silo-binding stało się niewidoczne dla zabezpieczeń. Choć bind links pozostają użytecznym narzędziem systemowym, ich nadużywanie staje się coraz częstszym elementem arsenału grup ransomware, pozwalającym na oślepienie agentów bezpieczeństwa na zainfekowanych stacjach roboczych.

    Share186Tweet116
    Poprzedni artykuł

    Apple stawia na sztuczną inteligencję i bezpieczeństwo dzieci podczas WWDC26

    Następny artykuł

    Dzisiejsza konferencja o bezpieczeństwie chmury i danych

    Następny artykuł
    Dzisiejsza konferencja o bezpieczeństwie chmury i danych

    Dzisiejsza konferencja o bezpieczeństwie chmury i danych

    Polub nas i bądź na bieżąco

    Ostatnie Wpisy

    • Apple wprowadza 36-miesięczne raty na iPady z łącznością komórkową 15 lipca, 2026
    • Apple planuje przejęcie producentów układów sztucznej inteligencji 15 lipca, 2026
    • Aktualizacje Firefox Chrome Adobe oraz VMware usuwają krytyczne luki bezpieczeństwa 15 lipca, 2026
    • Złośliwe oprogramowanie OkoBot wykrada frazy odzyskiwania z portfeli Ledger i Trezor 15 lipca, 2026
    • Nothing wprowadza tanie słuchawki Ear (a) z redukcją szumów 15 lipca, 2026

    Informacje

    • Polityka prywatności
    • Redakcja
    • Współpraca
    • REDAKCJA
    • WSPÓŁPRACA
    • POLITYKA PRYWATNOŚCI

    Welcome Back!

    Login to your account below

    Forgotten Password?

    Retrieve your password

    Please enter your username or email address to reset your password.

    Log In

    Add New Playlist

    No Result
    View All Result
    • Apple
    • Sztuczna inteligencja AI
    • Komputery I tablety
    • Gry
    • Smartfony
    • Security
    • Nauka i technika
    • Lora
    • Współpraca
    • Redakcja