O pesquisador conhecido como Two Seven One Three (TwoSevenOneT) lançou no GitHub a ferramenta EDRStartupHinder, um proof-of-concept capaz de impedir que antivírus e soluções EDR sejam iniciados durante o boot do Windows, explorando o mecanismo legítimo de redirecionamento de caminhos Bindlink. Nos testes publicados, a técnica conseguiu bloquear o processo do Microsoft Defender (MsMpEng.exe) em sistemas Windows 11 25H2, além de afetar produtos comerciais não revelados.
Abuso do Bindlink e do driver bindflt.sys
A técnica se apoia na API Bindlink, implementada pelo driver bindflt.sys, originalmente projetada para redirecionar namespaces do sistema de arquivos, por exemplo, fazendo recursos remotos “parecerem” locais por motivos de compatibilidade. O EDRStartupHinder utiliza essa capacidade para criar, durante a inicialização, um redirecionamento de uma DLL crítica em System32 para uma cópia controlada pelo atacante, fazendo com que o processo de proteção receba uma biblioteca “inadequada” e seja encerrado ao falhar na validação.
Como o ataque explora o Protected Process Light (PPL)
De acordo com a análise da Zero Salarium, muitos motores de segurança rodam como Protected Process Light (PPL) e aplicam verificações rígidas de integridade e assinatura dos módulos que carregam. Ao corromper minimamente a DLL de destino (por exemplo, alterando um byte no header PE) e redirecioná-la via Bindlink antes do início do serviço de segurança, o atacante leva o próprio processo protegido a se “autodestruir” por não conseguir carregar uma dependência válida, antes que mecanismos de autodefesa sejam ativados.
Cadeia de ataque e priorização de serviços
O fluxo descrito pelo autor envolve criar um serviço malicioso em um grupo de serviço com prioridade superior ao grupo em que o EDR é iniciado, garantindo que seu código rode primeiro no boot. Esse serviço manipula Bindlinks para uma DLL alvo em System32 (como msvcp_win.dll no caso do MsMpEng.exe), monitora a tentativa de inicialização do EDR, provoca a falha e, em seguida, remove o Bindlink para que outros processos do sistema continuem funcionando normalmente e reduzam evidências óbvias.
Implicações para defesa e monitoramento
Especialistas ressaltam que o risco principal não é o binário específico do EDRStartupHinder, mas a classe de ataques que abusam de Bindlink e minifilters para interferir na inicialização de agentes de segurança. Como medidas defensivas, recomenda-se monitorar cuidadosamente o uso de bindlink.dll e eventos ligados ao bindflt.sys, acompanhar criação ou alteração de serviços em grupos de inicialização precoce e investigar qualquer cenário em que a proteção padrão (como o Windows Defender) deixe de iniciar após reboot sem uma causa administrativa explícita.






