Badacze bezpieczeństwa z firmy Bitdefender zidentyfikowali trzy zaawansowane techniki ataku, które wykorzystują mechanizm powiązań typu bind links w systemie Windows do skutecznego ukrywania złośliwego oprogramowania przed narzędziami klasy EDR (Endpoint Detection and Response). Bind links to legalna funkcja systemu, obsługiwana przez sterownik bindflt.sys, wykorzystywana m.in. przez aplikacje ze sklepu Microsoft Store, Windows Sandbox oraz kontenery. Mechanizm ten działa na poziomie jądra systemu, tworząc wirtualną ścieżkę, która w sposób przezroczysty przekierowuje operacje na rzeczywisty plik.
Mechanizm manipulacji ścieżkami
Problem bezpieczeństwa pojawia się w momencie, gdy atakujący zmodyfikuje powiązanie tak, aby wirtualna ścieżka wskazywała na plik kontrolowany przez przestępcę. W takiej sytuacji system operacyjny oraz większość zabezpieczeń widzi jedynie zaufaną, poprawną ścieżkę, podczas gdy w rzeczywistości wykonywany jest ukryty kod. Ponieważ systemy obronne w dużej mierze opierają się na weryfikacji ścieżek plików, zmanipulowane powiązania są często ignorowane jako zaufane elementy systemu.
Microsoft ocenił te ustalenia jako zagrożenie o niskim stopniu ważności, argumentując to koniecznością posiadania uprawnień administratora do przeprowadzenia ataku. Eksperci z Bitdefendera wskazują jednak, że uzyskanie takich uprawnień jest standardowym etapem działań współczesnych grup przestępczych, często wykorzystujących do tego celu podatne sterowniki w ramach metody BYOVD (Bring Your Own Vulnerable Driver).
Trzy techniki ataku
Badacze opisali trzy metody wykorzystania bind links, z których każda służy innemu celowi w procesie infekcji:
Wewnątrz silo, otwarcie zaufanej ścieżki prowadzi do ładunku, więc złośliwy kod jest uruchamiany. Poza silo, każde narzędzie szukające tego ładunku jest po cichu przekierowywane do czystego oryginału.
Skuteczność w omijaniu zabezpieczeń
Zastosowanie techniki silo-binding pozwala atakującym na omijanie kluczowych mechanizmów obronnych systemu Windows, takich jak AppLocker, Windows Firewall czy Sysmon. W testach przeprowadzonych przez Bitdefender, standardowe narzędzie Mimikatz, które normalnie jest natychmiast wykrywane przez systemy EDR, po zastosowaniu silo-binding stało się niewidoczne dla zabezpieczeń. Choć bind links pozostają użytecznym narzędziem systemowym, ich nadużywanie staje się coraz częstszym elementem arsenału grup ransomware, pozwalającym na oślepienie agentów bezpieczeństwa na zainfekowanych stacjach roboczych.

