資安領域的攻防戰日新月異，攻擊者不斷尋找更為隱蔽與高效的途徑來繞過既有的防護機制。一種名為「EDR-Freeze」的新型態工具和概念驗證方法，正是當前端點安全領域的一大挑戰。這項技術利用了微軟Windows作業系統中的Windows錯誤報告（WER）服務，巧妙地將安全解決方案暫時掛起，從而為惡意程式的執行創造了「盲點」。

現有的 EDR 停用方法是基於「自帶易受攻擊的驅動程式(註)」（BYOVD）技術，攻擊者採用合法但易受攻擊的核心驅動程式並利用它來提升權限。一種名為 EDR-Freeze 的新型態方法和概念驗證工具證明，可以使用Microsoft 的 Windows 錯誤報告 (WER) 系統從使用者模式逃避安全解決方案。該技術消除了對易受攻擊的驅動程式的需求，並使端點偵測和回應 (EDR) 工具等安全代理程式進入休眠狀態。BYOVD 攻擊的主要缺點包括需要將驅動程式偷運到目標系統、繞過執行保護以及擦除可能暴露操作的核心級工件。相較於BYOVD，EDR-Freeze 被描述為一種更隱密的方法，它不需要核心驅動程序，完全以用戶模式運行，並利用作業系統中的 WerFaultSecure 觸發 MiniDumpWriteDump，在寫入轉儲時暫時掛起目標進程中的所有執行緒。

註：

「自帶易受攻擊的驅動程式」（BYOVD，Bring Your Own Vulnerable Driver）是一種進階的惡意攻擊技術，駭客利用合法但存在漏洞的驅動程式，來繞過系統防護機制並取得高權限控制權。這種技術近年在勒索軟體、APT（進階持續性威脅）攻擊中越來越常見。

BYOVD 除了常見的「Bring Your Own Vulnerable Driver」（自帶易受攻擊的驅動程式）外，還有另一個延伸概念：「Bring Your Own Vulnerable Device」（自帶易受攻擊的設備），這是一種新興的資安風險概念，指的是員工、供應商或攻擊者將存在安全漏洞的設備接入企業網路，進而成為滲透、橫向移動或資料竊取的跳板。這個概念是對「Bring Your Own Device」（BYOD）政策的延伸與警示，特別在 IoT、OT、遠端工作與混合雲環境中日益重要。

EDR-Freeze 的核心技術在於其利用了Windows原生機制來實現對安全代理程式的「凍結」。傳統的BYOVD攻擊需要將惡意驅動程式植入核心層，這不僅需要更高的權限，也更容易被現代作業系統的保護機制所偵測。而EDR-Freeze則避開了這個複雜且高風險的路徑，選擇在使用者模式下進行操作。它利用Windows錯誤報告的MiniDumpWriteDump函數，這個函數在系統核心中用於生成錯誤轉儲文件，而觸發此功能的WerFaultSecure進程，則擁有暫停目標進程所有執行緒的能力。

具體來說，攻擊者可以創建一個惡意進程，並利用EDR-Freeze技術使其與目標的EDR代理程式進程建立父子關係。當觸發WerFaultSecure並要求對EDR進程進行內存轉儲時，該進程中的所有執行緒會被自動掛起。在這一短暫但關鍵的時間窗口內，惡意軟體可以繞過EPR的實時監控，執行其惡意行為，例如植入勒索軟體、竊取資料或進行橫向移動，而不會觸發任何警報或攔截。

這項技術的隱蔽性使其對企業資安構成嚴重威脅。由於EDR-Freeze完全基於用戶模式運行，並利用合法的Windows功能，使得傳統的簽名式或行為式偵測方法難以辨識其為惡意行為。它不留下傳統的BYOVD攻擊所遺留的核心層痕跡，使得資安人員的取證和事件響應工作變得更加困難。許多勒索軟體集團，例如Blacksuit和RansomHub，已經開始在其攻擊流程中整合類似的EDR規避技術，這代表了惡意軟體技術的演進，也預示著企業必須重新審視其端點防護策略。

為了應對EDR-Freeze這類新型威脅，企業需要採取多層次的防禦措施。首先，強化端點可視性至關重要。資安團隊應監控與Windows錯誤報告相關的可疑行為，特別是MiniDumpWriteDump函數的異常調用。其次，部署能夠進行行為分析和異常偵測的下一代防毒軟體或EDR解決方案。這些解決方案應具備深度學習和AI能力，能夠識別出看似合法但實際上對系統構成威脅的異常行為模式。第三，實施嚴格的應用程式白名單政策，限制未經授權的應用程式在端點上運行。這可以從源頭上阻止惡意程式的執行。

總結來說，EDR-Freeze技術的出現再次證明了主動式威脅狩獵（Threat Hunting）的重要性。資安人員不能僅僅依賴自動化的偵測工具，還需要積極地搜尋系統中的可疑活動。定期進行滲透測試和漏洞評估，以及時發現並修補潛在的弱點。透過綜合性的防禦策略，結合技術、人員與流程，企業才能有效地應對類似EDR-Freeze的先進威脅，確保其數位資產與業務運營的安全。

資料來源：https://www.bleepingcomputer.com/news/security/new-edr-freeze-tool-uses-windows-wer-to-suspend-security-software/