文章总结： 一种名为EDR-Freeze的新型用户模式攻击技术可冻结端点检测与响应EDR软件。该技术滥用Windows错误报告工具WerFaultSecure.exe，利用其高权限暂停EDR进程，然后立即冻结WerFaultSecure.exe自身，制造死锁。这使EDR进程无限期休眠，形成安全盲区，允许攻击者在管理员权限下执行恶意活动而不被发现。文章建议使用Picus等平台模拟此类攻击以测试防御有效性。 综合评分： 86 文章分类： 红队,渗透测试,漏洞分析,应急响应

EDR-Freeze：让安全陷入瘫痪的用户模式攻击

TtTeam

2025年12月14日 15:12 广东

一种名为“EDR-Freeze”的新型规避技术已经出现，改变了攻击者绕过端点安全防护的方式。与试图使安全软件崩溃或终止（通常会触发警报）的传统方法不同，EDR-Freeze 会完全暂停安全进程，使其处于“休眠”状态，但实际上仍然运行。这种攻击尤其危险，因为它完全在用户模式下运行，这意味着攻击者无需携带易受攻击的驱动程序（自带驱动程序，BYOVD）或利用内核级漏洞。相反，它滥用合法的 Windows 错误报告工具来冻结端点检测与响应 (EDR) 代理，从而制造一个安全盲区，使恶意活动能够不被察觉地发生。

EDR冻结攻击的内部工作原理是什么？

EDR Freeze攻击的精妙之处在于它操控了三个核心Windows组件，使它们反过来攻击自身旨在保护的系统。该攻击将这些组件串联起来，造成死锁，从而有效地冻结安全产品。

核心组件

MiniDumpWriteDump 函数

这是 Windows DbgHelp.dll库中的一个合法函数。它的用途是调试；它会创建一个进程内存快照（“小型转储”）。为了确保快照的准确性和一致性，该函数首先会暂停目标进程中的所有线程。攻击者正是利用了这种“暂停”机制。

受保护工艺光（PPL）

这是攻击者面临的主要障碍。现代 EDR 和 AV 解决方案以 PPL 进程的形式运行。这项安全特性可以防止其他未受保护的进程（即使是拥有管理员权限的进程）篡改它们。

WerFaultSecure.exe 工具

这就是攻击者的“关键”。WerFaultSecure.exe 是 Windows 错误报告服务的一个合法组件，但它却是一个高权限系统工具。至关重要的是，它以WinTCB保护级别运行，这是一个 PPL 级别，赋予它与其他PPL 进程（例如 EDR）交互的权限，以便在这些进程崩溃时收集诊断数据。

攻击链：竞态条件死锁

EDR冻结攻击并非简单的命令，而是一种精确计时的竞争条件攻击，需要管理员权限才能发起。其目标是诱使WerFaultSecure.exe启动EDR转储，然后在转储完成前“冻结”该转储程序。

由“EDR-Freeze”概念验证工具[1]自动化的该过程包括以下四个步骤[2][3]：

1. 发起攻击：攻击者已获得管理员权限，启动WerFaultSecure.exe。他们向其传递命令行参数（-p ），指示其生成目标 EDR/AV 进程的转储。
2. 冻结过程： WerFaultSecure.exe利用其高权限 PPL 状态，成功获取了受保护的 EDR 进程的句柄，并调用了MiniDumpWriteDump函数。按照设计，该函数会立即挂起 EDR 进程内的所有线程，从而停止其执行。
3. 争分夺秒：攻击者的 EDR-Freeze 工具一直在快速监控目标 EDR 的线程状态，并检测到了这种挂起状态。这是争分夺秒的关键时刻。
4. 死锁：一旦确认 EDR 已暂停，攻击者的工具就会立即使用NtSuspendProcess函数暂停WerFaultSecure.exe进程本身，从而赢得这场竞赛。

这就造成了完全的死锁。EDR 进程被冻结，只有在WerFaultSecure.exe完成MiniDumpWriteDump操作后才能恢复。然而，WerFaultSecure.exe现在也处于冻结状态，永远无法完成其任务。

结果是，EDR进程将无限期地处于暂停的“休眠”状态，其图标仍然可见，但检测功能已完全失效。攻击者现在可以自由地执行进一步的命令，例如运行Mimikatz、部署勒索软件或窃取数据，而这些操作在被禁用的安全产品无法察觉的“盲区”内进行。

Picus 如何模拟 EDR 冻结攻击？

我们也强烈建议您使用 Picus 安全验证平台模拟 EDR 冻结攻击，以测试您的安全控制措施在应对真实网络攻击时的有效性。您还可以通过Picus 平台 14 天免费试用版，在几分钟内测试您的防御措施，抵御数百种其他攻击技术，例如进程注入、输入捕获、Active Directory 攻击和操作系统凭据转储。

查看原文：《EDR-Freeze：让安全陷入瘫痪的用户模式攻击》