Windows環境で動くEDR製品を回避 新ツール「EDR-Redir V2」とは？：セキュリティニュースアラート

Zero Salariumは、Windows環境で動作するEDR製品を回避する新ツール「EDR-Redir V2」を公開した。Windowsのバインドリンク技術を応用し、EDRの実行フォルダではなく、上位の親フォルダを標的にリダイレクトすることで検知回避を狙うという。

[後藤大地，ITmedia]

　セキュリティ研究チーム「Zero Salarium」は2025年11月1日（現地時間）、「Windows」環境で動作するEDR（Endpoint Detection and Response）製品の防御機構を回避する新たなツール「EDR-Redir V2」を公開した。

　開発者の「Two Seven One Three」氏（「X」アカウントは@TwoSevenOneT）は、Windowsの「バインドリンク」機能を応用し、EDRの実行フォルダを直接操作せずに、その上位ディレクトリを介して動作を妨害する仕組みを解説している。

Windows環境で動くEDR製品を回避　Defenderの弱点とは？

　EDR-Redir V2は「Windows 11」での動作を前提に設計されており、旧バージョンよりもバインドリンク技術を発展させている。従来のEDR-Redirは、EDRソフトウェアがインストールされているフォルダを対象に直接リンクを作成し、アクセスを制御・転送していた。

　しかし多くのEDR製品では自身のフォルダに厳重な保護が適用されており、この手法は失敗する場合があった。新バージョンは保護対象のフォルダそのものではなく、より上位の親フォルダに対しバインドリンクを構成することで、EDRの防御を回避する。

　Windowsではセキュリティソフトを含む多くのアプリケーションが「Program Files」や「ProgramData」などのディレクトリに配置されている。EDRやアンチウイルス製品は通常、これらの内部フォルダに書き込みを禁止しているが、親フォルダへの制限を厳しく設定すると他のアプリケーションのインストールに支障が出る。その構造的な制約を突いたのがEDR-Redir V2とされている。

　段階的な攻撃手順は以下の通りだ。まず「Program Files」など対象の親フォルダ内のサブフォルダを全て列挙し、攻撃者が制御できる一時ディレクトリ（C:\TMP\TEMPDIRなど）内に同名のフォルダを作成する。次に、元の「Program Files」と一時ディレクトリの各サブフォルダ間でバインドリンクを作成し、フォルダのアクセスが循環する構造を作る。この際、EDRのフォルダそのものは除外される。最後に親フォルダから一時ディレクトリへのリンクを追加し、結果としてEDRのフォルダへのアクセスを攻撃者が管理する場所に転送できるようにする。

　この手順を使えば、EDRがアクセスするファイルを偽装したDLLを一時ディレクトリに配置することで、EDRの挙動を乗っ取るDLLハイジャック攻撃を実行できる。Two Seven One Three氏は、「Windows Defender」を対象とした実験でこの挙動を確認している。実験の結果、Windows Defenderは自身のフォルダの親フォルダを「C:\TMP\TEMPDIR」と認識するようになり、実際のファイル保護が形骸化する状態となったという。この状態ではWindows Defenderが通常の監視機能を発揮できず、悪意あるコードを検知できない恐れがある。実証映像は「YouTube」で公開されており、攻撃の過程を確認できる。

　EDR製品が保護対象とするのは自らの動作フォルダに限定されていると指摘している。親フォルダが攻撃を受けると、その防御は意味を失う可能性がある。多くのソフトウェア開発者は「Program Files」や「ProgramData」といった上位ディレクトリがバインドリンクで書き換えられる状況を想定していないため、この手法に影響を受ける製品は広範に及ぶ恐れがあると述べている。

　防御策としてはシステムでバインドリンクの作成を監視し、「Program Files」や「ProgramData」といった重要ディレクトリに不審なリンクが生成されないよう制御することが有効とされている。EDR-Redir V2は「GitHub」で入手可能で、攻撃者による悪用の危険性もある。TwoSevenOneT氏はセキュリティ関係者にバインドリンク技術を理解し攻撃・防御の両側面を学ぶことの重要性を説いている。