EDR-Freeze khai thác chính các chức năng hợp pháp của Windows để “đóng băng” phần mềm bảo mật – khiến nó tạm thời mù hoàn toàn trước hoạt động độc hại. Đáng chú ý, toàn bộ kỹ thuật này diễn ra trong user-mode, sử dụng các thành phần gốc của Windows mà không cần driver tùy chỉnh hay đặc quyền hệ thống.

1. EDR-Freeze là gì?

Một hình thức tấn công mới thuộc nhóm Living Off the Land (LOTL) vừa xuất hiện, thách thức cách chúng ta nhìn nhận về bảo mật đầu cuối (endpoint protection).

EDR-Freeze là kỹ thuật né tránh (evasion) cực kỳ tinh vi và lặng lẽ. Nó không phá hủy hay tắt phần mềm bảo mật, mà lợi dụng cơ chế của Windows để tạm ngưng hoạt động của các tiến trình bảo mật – giống như khi bạn “tạm dừng” một video đang phát.
Trong khoảng thời gian đó, kẻ tấn công có thể thực hiện các hành vi độc hại mà không bị phát hiện.

2. Bức tranh kỹ thuật – Cách EDR-Freeze hoạt động

Sức mạnh của EDR-Freeze đến từ việc lạm dụng ba thành phần lõi của Windows:

• MiniDumpWriteDump – hàm thuộc thư viện DbgHelp, dùng để tạo snapshot bộ nhớ tiến trình.

• WerFaultSecure.exe – thành phần của Windows Error Reporting (WER), có quyền truy cập ở mức Windows Trusted Computing Base (WinTCB).

• Protected Process Light (PPL) – cơ chế bảo vệ tiến trình quan trọng của Windows.
  
  

Cách tấn công diễn ra

• MiniDumpWriteDump() được dùng để tạo bản snapshot của bộ nhớ chương trình. Khi hoạt động, hàm này tạm ngưng tất cả luồng (thread) của tiến trình đích trong thời gian ngắn để đảm bảo dữ liệu ổn định.

• Nhưng nếu tiến trình bị “đóng băng” giữa chừng – ví dụ, MiniDumpWriteDump không bao giờ hoàn tất – thì toàn bộ tiến trình bị treo vĩnh viễn, không thể xử lý thêm sự kiện nào.

Đây chính là cơ sở mà EDR-Freeze khai thác.
Kẻ tấn công sử dụng WerFaultSecure.exe (vốn được Windows dùng để thu thập crash dump) để gọi MiniDumpWriteDump lên phần mềm bảo mật (EDR).
Sau đó, chúng dừng chính WerFaultSecure.exe đúng thời điểm EDR bị tạm ngưng, tạo ra trạng thái “đóng băng vĩnh viễn”:

• EDR không thể hoạt động trở lại,

• WerFaultSecure.exe bị treo,

• Và toàn bộ giám sát bảo mật tạm thời ngừng lại mà không tạo cảnh báo nào.

Khi hoàn tất hành vi độc hại, kẻ tấn công chỉ cần “thả băng” để hệ thống trở lại bình thường – không dấu vết, không cảnh báo.

3. Cách ThreatDown ngăn chặn EDR-Freeze ngay từ gốc

Nhờ kiến trúc bảo mật từ lõi, ThreatDown Agent hoàn toàn miễn nhiễm trước kỹ thuật này.

ThreatDown sử dụng trình điều khiển kernel driver để bảo vệ toàn bộ tài nguyên cốt lõi (file, tiến trình, registry key) khỏi mọi truy cập trái phép.
Dù WerFaultSecure.exe có đặc quyền cao đến đâu, kernel driver của ThreatDown vẫn chặn mọi nỗ lực mở handle tới tiến trình bảo mật nếu không được ủy quyền hợp lệ.

Điều này khiến:

• WerFaultSecure.exe không thể khởi tạo thao tác dump bộ nhớ,

• Do đó không thể “đóng băng” ThreatDown,

• Và cuộc tấn công thất bại ngay từ bước đầu tiên.

ThreatDown không cần quy tắc phát hiện đặc biệt nào cho EDR-Freeze, vì kiến trúc của nó ngăn chặn tấn công ngay ở cấp độ nền tảng, chứ không chỉ dừng lại ở việc “phát hiện” hành vi.

Nguyên tắc vàng: Phòng ngừa ở cấp độ kiến trúc luôn mạnh mẽ hơn việc phát hiện hành vi tấn công riêng lẻ.

4. Chiến lược phát hiện EDR-Freeze

Với những hệ thống bảo mật khác, để nhận diện EDR-Freeze, cần tập trung vào hành vi thay vì “tập tin độc hại”.

Một số dấu hiệu cần theo dõi:

• WerFaultSecure.exe được khởi chạy bất thường (không phải do hệ thống gọi khi ứng dụng bị crash).

• Lệnh chạy có chứa “-p <PID>” nhằm chỉ định tiến trình bảo mật làm mục tiêu.

• Cha của WerFaultSecure.exe là cmd.exe, PowerShell hoặc tiến trình lạ – thay vì Windows Error Reporting chính thống.

Mẫu quy tắc phát hiện giả định:

Ngoài ra, các tổ chức nên giám sát:

• Các tiến trình bị “treo” bất thường,

• Các nỗ lực truy cập tiến trình bảo mật,

• Hoặc khoảng trống dữ liệu (telemetry gap) trong báo cáo bảo mật.

5. Tác động và bài học cho tổ chức

EDR-Freeze nhắc nhở chúng ta rằng:
Phần mềm bảo mật cũng là mục tiêu.
Chỉ cài EDR không đủ – các tổ chức cần những giải pháp có cơ chế tự bảo vệ và giám sát đa tầng.

Bên cạnh đó, đội ngũ an ninh cần thường xuyên:

• Xác minh EDR/antivirus vẫn đang hoạt động đúng,

• Cập nhật quy trình phản ứng sự cố để tính đến kịch bản EDR bị vô hiệu hóa.

6. Lợi thế của Managed Detection and Response (MDR)

Phát hiện và xử lý các kỹ thuật tinh vi như EDR-Freeze đòi hỏi chuyên môn cao và giám sát liên tục – điều mà nhiều doanh nghiệp khó duy trì nội bộ.

ThreatDown Managed Detection and Response (MDR) cung cấp đội ngũ chuyên gia giám sát 24/7, phát hiện và phản ứng với các hành vi tấn công ngay khi chúng xuất hiện.
Họ:

• Phân tích hành vi WerFaultSecure.exe đáng ngờ,

• Liên kết dữ liệu từ nhiều nguồn telemetry,

• Xử lý trong vài phút, giúp doanh nghiệp duy trì hoạt động bình thường mà vẫn đảm bảo an toàn.

Hơn nữa, MDR mang lại lợi thế cộng đồng:
Khi một tổ chức bị tấn công, các bài học và chỉ số phát hiện được chia sẻ ngay lập tức trên toàn hệ thống khách hàng, tạo thành lá chắn tập thể mà các đội nội bộ khó có thể tự xây dựng.

Kết luận

EDR-Freeze là minh chứng rõ ràng rằng mối đe dọa hiện đại không còn giới hạn trong tệp tin độc hại, mà nằm ở việc khai thác chính hệ điều hành.
Nhờ nền tảng được thiết kế vững chắc và khả năng giám sát chủ động từ MDR, ThreatDown không chỉ phòng thủ – mà còn chủ động vô hiệu hóa mối đe dọa trước khi nó bắt đầu.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.