Hacker können Bind-Link-Funktion in Windows zum Erstellen virtueller Pfade in Datensystemen missbrauchen

Legitime Tools und Dienste bieten Hackern eine effektive Möglichkeit, ihre Living-off-the-Land (LOTL)- oder Living-off the-Services (LOTS)-Angriffe zu verbergen. Mit der Tarnkappe einer legitimen Funktion – wie auch eines Dienstes oder Tools – unterlaufen solche Angriffe die Erkennung von Endpoint-Detection and Response (EDR) oder anderer Analysetools. Weitere Beispiele für ein solches Mimikri haben die Experten der Bitdefender Labs nun dokumentiert: Hacker können Bind-Links, das legitime Tool zur Virtualisierung von Windows-Dateisystemen, missbrauchen, um so die Erkennungsmechanismen der EDR-Sensoren oder auch von Windows-Bordmitteln zur Abwehr einschließlich AMSI, Applocker und die Windows-Firewall zu umgehen. Dafür müssen sie nicht eine einzige Datei in einem Laufwerk ändern. 

Die Experten von Bitdefender haben drei neue Angriffstechniken dokumentiert: File-Binding, Process-Binding und Silo-Binding. Hacker nutzen legitime Bind-Links, wie sie Windows-Container, Store-Apps oder die Windows-Sandbox als virtuelle Datenpfade verwenden, für ihre Zwecke. Mit Administrator-Zugriff können die Hacker die Ansicht eines Dateisystems beim Silo-Binding zweiteilen: Während EDR, die Applocker-Richtlinien oder forensische Tools nur eine saubere, vertrauenswürdige Datei erkennen, finden die Cyberkriminellen hier den Platz für ihren bösartigen Code und führen diesen im isolierten Container aus.

In einer Konstellation ermöglicht das Tool Invoke-Mimikatz den Diebstahl von Zugangsdaten – getarnt als Systemprozess in Windows. So bleibt es nach einem Live-EDR-Scan unentdeckt, weil es als der vertrauenswürdiger Windows-System-Prozess für Updates tiworker.exe gemapped wird.

 

Bind-Link – File-Binding, Process-Binding und Silo-Binding

Die dokumentierten Techniken hebeln die Abwehrmechanismen der Antimalware-Scan-Interface (AMSI), User-Mode-Sensoren von EDR-Lösungen, den Applocker, Windows-Firewall-Regeln sowie den Sysmon-Systemdienst und Gerätetreiber zum Überwachen und Protokollieren von Systemaktivitäten im Windows-Ereignisprotokoll von Windows (auch in den in Windows 11 oder Windows Server 2025 integrierten Versionen) aus. Gefährdet sind auch Windows-10-RS4+- und Windows-11-Systeme, sobald ein Angreifer über Administratorrechte verfügt. Ebenso betroffen sind Antivirus- und EDR-Lösungen, die Image-File-Pfaden nach einer Standard-Prozessbenachrichtigungsroutine vertrauen.

Microsoft selbst stufte im Anschluss an die Information durch Bitdefender diese Risiken als „Low Severity“ ein, weil für den Missbrauch Administrator-Rechte nötig seien. Bitdefender-Experten warnen vor der Einfachheit des Zugriffs durch Bring-Your-Own-Virtual-Driver (BYOVD)-Techniken.

Info: Eine ausführliche Analyse findet sich unter: https://businessinsights.bitdefender.com/bind-link-abuses-windows-feature-edr-evasion-technique.

#Bitdefender