文章总结： 本文介绍了Windows11中绑定链接功能被滥用以篡改EDR系统的新技术。攻击者可利用bindflt.sys驱动程序将EDR文件夹重定向到可控位置，从而植入恶意文件或执行代码。文章提供了概念验证工具EDR-Redir的使用方法，并建议SOC团队通过监控bindflt驱动程序、部署Sysmon及创建特定检测规则来识别此类攻击，强调了增强对bindfltapi.dll加载事件监控的重要性。 综合评分： 85 文章分类： 漏洞分析,EDR规避,终端安全,安全工具,红队

绑定链接 – EDR 篡改

TtTeam

2025年12月15日 14:07 广东

绑定链接 API 允许管理员创建从虚拟路径到后端路径（本地或远程）的透明映射。绑定链接功能在 Windows 11 中引入，微软表示，它可用于提高应用程序兼容性，使存储在网络共享中的文件看起来像是本地文件，或者用于应用程序需要将不同位置的文件显示在新位置而无需复制文件的场景。然而，绑定链接功能也可能被滥用，例如强制将包含 EDR 文件的文件夹重定向到攻击者具有写入权限的文件夹，从而实施规避。

在基于 Windows 的系统中，应用程序通常安装在Program Files、Program Files (x86)和Program Data 文件夹中。端点检测与响应系统 (EDR) 也不例外，同样安装在上述文件夹中。为了防止滥用和篡改 EDR 的正常操作，文件写入权限仅限于 EDR 文件夹。

TwoSevenOneT发布了一款名为EDR-Redir的概念验证工具，它利用bindflt.sys驱动程序将 EDR 文件夹重定向到一个具有写入权限的不同文件夹，从而允许篡改 EDR 或执行代码。如果目标是滥用基于 Microsoft 的应用程序，则执行该工具需要虚拟路径、后端路径和异常路径（即 EDR 文件夹）的位置。该工具使用 C++ 开发，可以通过命令行或命令与控制台执行。

shell EDR-Redir.exe "C:\ProgramData\Microsoft" C:\temp\ipurple "C:\ProgramData\Microsoft\Windows Defender"

绑定链接文件夹的相关信息将显示在控制台中。文件夹内部C:\ProgramData\Microsoft也将在后备路径文件夹（ipurple）中重新创建。

下图显示，重定向后，Windows Defender 拥有一个任意的父文件夹。

在以篡改 EDR 操作为目标的场景中，威胁行为者可能仅使用 EDR 的安装路径（虚拟路径）和后备路径来创建绑定链接。

EDR-Redir.exe "C:\ProgramData\Microsoft\Windows Defender" C:\temp\ipurple

这将导致受威胁行为者控制的文件夹包含与合法 EDR 文件夹相同的文件。

威胁行为者可以利用这种方法将恶意 DLL 放入模仿合法 EDR 模块的伪造文件夹中，以进行 DLL 劫持并建立持久性，或者植入任意可执行文件，使其在 EDR 的上下文中运行代码。

以下是模拟通过文件夹重定向规避 EDR 活动的操作指南：

该技术摘要展示了 SOC 团队可以用来检测该活动的指标。

检测

文件夹重定向技术依赖于 Bind Link API。因此，建议调查 EDR 的实现是否支持对用于执行目录映射的bindflt驱动程序进行监控。或者，组织应评估部署 Sysmon 以增强对镜像加载事件的可见性的可行性。此外，还应使用关联分析来验证其环境中是否存在利用 bindfltapi.dll 来减少噪声的有效用例。

签名

技术水平较低的威胁行为者可能会利用 GitHub 代码库中提供的概念验证。EDR -Redir未经可信机构签名，因此大多数 EDR 系统可能会阻止直接执行。

高级攻击者可能能够执行代码签名，因此检测应侧重于其他方法。

API

根据源代码，目录的创建是通过CreateDirectoryW API 完成的。目前尚无明显的威胁行为者利用此 API 在 Windows 系统中创建目录的案例，而且默认情况下，端点检测和响应系统极不可能将此类活动识别为恶意行为。

它还使用 LoadLibraryW API 来加载所需的 DLL，更多详情如下所述。

DLL

绑定链接是通过bindfltapi.dll实现的。概念验证使用LoadLibraryW API 加载bindfltapi.dll。DLL加载时，会调用两个函数分别用于创建和删除绑定链接。

HMODULE hBindflt = LoadLibraryW(L"bindfltapi.dll");if (hBindflt){    MyCreateBindLink = (PtrCreateBindLink)GetProcAddress(hBindflt, "BfSetupFilter");    MyRemoveBindLink = (PtrRemoveBindLink)GetProcAddress(hBindflt, "BfRemoveMapping");

启用 Bind Link API 的Windows Bind Filter Driver bindflt.sys存储在 System32 目录下的 drivers 文件夹中。同样，bindfltapi.dll 也位于 System32 目录下。

C:\Windows\System32\bindfltapi.dllC:\Windows\System32\drivers\bindflt.sys

从进程监视器也证实，EDR-Redir从 System32加载bindflt.dll 。

Sysmon 能够捕获事件 ID 7 下的镜像加载事件。组织应检查其生态系统中的开发人员或管理员是否使用了绑定链接，以减少构建检测规则时的误报。以下 Sysmon 规则可以检测使用bindfltapi.dll的进程。使用该 DLL 是环境中已执行文件夹重定向技术的重要指标。

一旦上述规则添加到 Sysmon 配置文件中，Sysmon 就会捕获尝试加载 DLL 的进程，并将其标记为事件 ID 7。这有助于安全运营中心 (SOC) 团队审查该进程是否可信，如果不可信，则触发安全事件。需要注意的是，Sysmon 日志应转发到安全信息和事件管理 (SIEM) 系统，并根据所采用的技术，基于此事件 ID 进行相应的检测。

文件夹重定向技术可用于篡改 Windows 11 终端的 EDR 操作，具体做法是镜像 EDR 文件夹、删除文件或在 EDR 上下文中执行代码。常用的终端检测与响应系统 (EDR) 已引入对绑定链路活动的监控。然而，安全运营中心 (SOC) 团队应调查其 EDR 部署是否能够可靠地检测到此类活动，并部署诸如 Sysmon 之类的其他数据源来增强可见性，作为临时或永久解决方案。

查看原文：《绑定链接 – EDR 篡改》