EDR-Redir V2: Nova Ameaça Cega Proteções no Windows 11

As soluções de Endpoint Detection and Response (EDR) representam uma das defesas mais críticas na arquitetura de cibersegurança empresarial moderna. No entanto, nesse artigo do blog Dolutech, exploramos como uma nova ferramenta está a revolucionar as táticas de evasão: o EDR-Redir V2, que explora funcionalidades nativas do Windows 11 para cegar sistemas de segurança sem necessitar de privilégios de kernel.

Esta ferramenta, desenvolvida pelo investigador de cibersegurança TwoSevenOneT e divulgada no início de novembro de 2025, representa uma mudança paradigmática nas técnicas de ataque. Ao contrário dos métodos tradicionais, o EDR-Redir V2 aproveita recursos legítimos do sistema operativo, especificamente o driver Bind Filter (bindflt.sys) e a Windows Cloud Filter API, para manipular diretórios de instalação de EDRs de forma transparente e extremamente difícil de detetar.

Como Funciona o EDR-Redir V2: Técnicas Exploradas

Bind Links: Redirecionamento Transparente no Windows 11

O conceito central do EDR-Redir V2 baseia-se na funcionalidade Bind Link, introduzida no Windows 11 versão 24H2. Esta funcionalidade permite criar mapeamentos virtuais de caminhos no sistema de ficheiros, redirecionando operações sem criar ficheiros físicos ou ligações simbólicas tradicionais.

A Dolutech explica: o driver bindflt.sys gere este redirecionamento ao nível do kernel, tornando-o transparente para aplicações e, crucialmente, para muitos sistemas EDR. Esta diferença fundamental permite que atacantes com privilégios administrativos executem apenas operações de “OPEN” e “READ” (permissões que administradores naturalmente possuem sobre pastas executáveis de EDR) para estabelecer redirecionamentos maliciosos.

Evolução da Versão 2: Loops de Redirecionamento

A segunda versão do EDR-Redir trouxe uma inovação significativa. Em vez de criar links diretos para as pastas do EDR (que são frequentemente bloqueados), a ferramenta agora ataca os diretórios pai como Program Files ou ProgramData.

O processo técnico funciona da seguinte forma:

1. Enumeração: A ferramenta consulta todas as subpastas no diretório pai do EDR
2. Espelhamento: Estabelece cópias da estrutura de diretórios num local controlado pelo atacante (exemplo: C:\TMP\TEMPDIR)
3. Ligações bidirecionais: Cria Bind Links entre os espelhos e os diretórios originais, formando loops que mantêm o acesso normal para software não-EDR
4. Isolamento do EDR: Manipula especificamente o caminho do EDR para redirecionamento, permitindo injeção de DLLs maliciosas ou simplesmente deixar pastas vazias para desativar a proteção

Windows Cloud Filter API: Método Alternativo de Ataque

Para EDRs mais resistentes, como o Windows Defender, o EDR-Redir V2 implementa uma abordagem alternativa utilizando a Windows Cloud Filter API. Esta API, originalmente projetada para serviços de sincronização cloud como o OneDrive, torna-se uma arma nas mãos de atacantes.

O ataque explora a função CfRegisterSyncRoot() de forma maliciosa, executando um registo de sync root com parâmetros quase vazios ou intencionalmente incompletos. Este registo incompleto corrompe o diretório alvo, tornando-o inacessível para o EDR, e a corrupção persiste mesmo após reinicializações do sistema.

Impacto Real: EDR Killers no Panorama de Ransomware

Adoção Massiva por Grupos Criminosos

A investigação da Dolutech revelou que, em 2025, pelo menos uma dúzia de grupos de ransomware incorporaram “EDR killers” nos seus arsenais. Grupos como RansomHub, Medusa, BianLian, Play, Blacksuit, Qilin e Crypto24 estão ativamente a utilizar estas ferramentas antes de implementar payloads de ransomware.

Nós observamos que o RansomHub, grupo emergente desde fevereiro de 2024, foi pioneiro no desenvolvimento do EDRKillShifter, uma ferramenta proprietária que posteriormente evoluiu e foi partilhada (ou independentemente desenvolvida) por outros grupos. O mercado de Ransomware-as-a-Service (RaaS) facilitou esta proliferação de conhecimento técnico.

Casos Documentados e Estatísticas Alarmantes

Os dados de 2025 são reveladores:

• 126% de aumento ano-a-ano no número de vítimas de ransomware publicamente mencionadas e extorquidas
• 48% de taxa de sucesso quando atacantes tentam desativar EDRs, segundo o Cisco Talos
• Grupos como Cl0p exploraram vulnerabilidades zero-day em produtos Cleo, com 83% das vítimas na América do Norte
• Akira ransomware utilizou drivers Intel legítimos (rwdrv.sys) para desativar Microsoft Defender via técnica BYOVD

Em Portugal e na Europa, organizações com infraestruturas críticas ou dados sensíveis enfrentam riscos particularmente elevados, especialmente em setores financeiros, manufatura e tecnologia.

Consequências Operacionais para Empresas

O sucesso de técnicas de evasão como o EDR-Redir V2 tem implicações devastadoras para empresas. Quando o EDR é comprometido ou desativado, a organização perde efetivamente a sua camada mais crítica de visibilidade e resposta a ameaças.

Os impactos empresariais incluem:

Comprometimento de dados críticos: Sem EDR funcional, atacantes podem operar sem deteção durante períodos prolongados, exfiltrando dados sensíveis e propriedade intelectual.

Ataques de ransomware bem-sucedidos: A taxa de sucesso de ransomware aumenta dramaticamente quando EDRs são desativados, permitindo encriptação massiva de dados antes que qualquer resposta seja possível.

Custos de recuperação elevados: Incidentes que envolvem bypass de EDR resultam em tempos de inatividade mais longos e custos de recuperação mais elevados, pois a deteção ocorre apenas após danos significativos.

Danos reputacionais: Violações que exploram falhas em controlos de segurança fundamentais como EDR podem resultar em perda de confiança de clientes e parceiros.

Deteção e Monitorização: Como Identificar Ataques

Indicadores de Compromisso Específicos

Para equipas de segurança e SOCs, é essencial monitorizar indicadores que podem revelar atividade do EDR-Redir:

Anomalias em Drivers do Sistema:

• Carregamento inesperado de bindflt.sys ou cldflt.sys fora de contextos normais
• Tentativas de registar novos minifilter drivers sem autorização adequada
• Modificações nos parâmetros de configuração de drivers de filtro de sistema de ficheiros

Atividade Suspeita de Ficheiros:

• Criação de Bind Links por utilizadores em localizações incomuns
• Registos de sync root via CfRegisterSyncRoot() com políticas incompletas
• Redirecionamentos de pastas em diretórios críticos como Program Files

Comportamento Anómalo de EDR:

• Serviços EDR que falham ao iniciar ou são terminados inesperadamente
• Agentes EDR que ficam offline sem razão aparente
• Modificações nos ficheiros executáveis de EDR

Técnicas de Deteção Comportamental

Sistemas de deteção modernos devem incorporar análise comportamental para identificar padrões de ataque que exploram funcionalidades legítimas do sistema:

Monitorização de telemetria de kernel: Implementar visibilidade ao nível do kernel para detetar manipulações de minifilter drivers e operações de ficheiros suspeitas que operam abaixo do nível de visibilidade de EDR tradicional.

Análise de linha temporal de eventos: Correlacionar eventos aparentemente benignos (como carregamento de drivers, criação de ligações de sistema de ficheiros e falhas de serviços) para identificar cadeias de ataque completas.

Deteção de desvios de baseline: Estabelecer baselines de comportamento normal para operações de sistema de ficheiros, carregamento de drivers e atividade de serviços, alertando sobre desvios significativos.

Integração com threat intelligence: Incorporar feeds de inteligência de ameaças atualizados que incluam assinaturas de ferramentas conhecidas de evasão de EDR e táticas emergentes.

Ferramentas Complementares de Deteção

A Dolutech recomenda que organizações não confiem exclusivamente em EDR. A defesa contra evasão requer uma abordagem em camadas que vai além de soluções únicas.

Network Detection and Response (NDR): Os sistemas NDR são estruturalmente imunes a técnicas como EDR-Freeze porque operam de forma independente dos endpoints. Monitorizam tráfego de rede, detetando movimento lateral, comunicações command-and-control e exfiltração de dados mesmo quando agentes EDR estão comprometidos.

Análise de tráfego encriptado: Capacidades de desencriptação estratégica permitem análise de espectro completo em tráfego encriptado, removendo o método preferido dos atacantes para contornar outras ferramentas NDR.

Machine Learning e análise comportamental em rede: Algoritmos de ML constroem perfis comportamentais baseados em padrões de tráfego, alertando quando esses padrões se desviam da norma estabelecida.

Extended Detection and Response (XDR): Plataformas XDR integram dados de múltiplas camadas de segurança (endpoints, rede, email, cloud) proporcionando contexto mais rico e deteções mais precisas através de correlação entre fontes.

Logging e Análise Forense

Implementar estratégias robustas de logging é essencial para deteção e investigação pós-incidente:

Logs críticos para monitorização:

• Event Tracing for Windows (ETW) para operações de sistema de ficheiros e carregamento de drivers
• Logs de serviços do Windows para monitorizar início/paragem de serviços EDR
• Logs de registo do Windows para alterações em chaves relacionadas com drivers e políticas de segurança
• Logs de auditoria de acesso a ficheiros para diretórios críticos do sistema

Retenção e análise centralizada: Centralizar logs num SIEM (Security Information and Event Management) para análise correlacionada e retenção a longo prazo, essencial para investigações forenses.

Proteção de logs contra tamper: Assegurar que os próprios logs não podem ser modificados ou eliminados por atacantes, implementando write-once storage ou enviando logs imediatamente para sistemas externos.

Mitigação: Estratégias de Defesa em Profundidade

Hardening do Windows 11

Implementar medidas rigorosas de hardening é fundamental para reduzir a superfície de ataque:

Controlo de Privilégios Administrativos:

• Implementar Role-Based Access Control (RBAC) rigoroso, restringindo privilégios administrativos apenas ao pessoal essencial
• Utilizar acesso Just-in-Time (JIT), concedendo privilégios administrativos apenas temporariamente quando necessário
• Aplicar separação funcional de responsabilidades para prevenir que um único utilizador tenha controlo irrestrito

Políticas de Controlo de Aplicações:

• Implementar Windows Defender Application Control (WDAC) para criar políticas que permitam apenas drivers selecionados a carregar
• Utilizar application whitelisting para prevenir execução de software não autorizado
• Bloquear drivers vulneráveis conhecidos através de políticas PUSA (Potentially Unsafe Applications)

Proteção de Sistema de Ficheiros:

• Ativar RedirectionGuard para bloquear travessias de junction inseguras criadas por utilizadores não administrativos
• Implementar Controlled Folder Access para proteger pastas críticas contra modificações não autorizadas
• Configurar permissões granulares em diretórios críticos do sistema

Configurações Específicas de Segurança do Windows 11 24H2

Para ambientes Windows 11 versão 24H2, nós recomendamos:

• Ativar Local Security Authority (LSA) Protection para prevenir dumping de memória e código não autorizado no processo LSA
• Implementar exploit protection com Control Flow Guard (CFG), Data Execution Prevention (DEP) e Address Space Layout Randomization (ASLR)
• Utilizar Personal Data Encryption (PDE) para proteger pastas sensíveis

Proteção Anti-Tampering de EDR

Fortalecer as proteções anti-tampering do próprio EDR é crucial para prevenir desativação:

Configurações de policy do EDR:

• Ativar tamper protection nas políticas de EDR para prevenir utilizadores de parar ou reiniciar serviços EDR através do Windows Service Manager
• Implementar proteção ELAM (Early Launch Anti-Malware) quando disponível para garantir que drivers de segurança carregam antes de código potencialmente malicioso
• Configurar self-healing automático para que agentes EDR se restaurem automaticamente quando comprometidos

Monitorização e alertas:

• Configurar alertas imediatos quando agentes EDR ficam offline ou apresentam anomalias
• Implementar verificações de integridade periódicas dos componentes de EDR
• Monitorizar tentativas de modificação de configurações de segurança através de SIEM

Isolamento e contenção automática:

• Configurar isolamento automático de rede para hosts quando tamper é detetado
• Implementar rotação automática de credenciais para contas usadas em sistemas onde EDR foi comprometido
• Estabelecer playbooks de recuperação automatizados

Gestão de Vulnerabilidades e Patches

Uma gestão rigorosa de vulnerabilidades reduz a disponibilidade de vetores de ataque:

Gestão de drivers vulneráveis:

• Manter inventário atualizado de drivers instalados em todos os sistemas
• Substituir ou remover drivers vulneráveis conhecidos que podem ser explorados via técnicas BYOVD
• Priorizar patches para drivers utilizados em exploits de escalação de privilégios locais

Ciclos de patch acelerados:

• Implementar patching rápido para CVEs críticas, especialmente aquelas relacionadas com componentes de kernel
• Aplicar patches de segurança do Windows Update mensalmente sem atrasos
• Priorizar sistemas de alto risco para patches expeditos

Controlos compensatórios:

• Quando patches não podem ser aplicados imediatamente, isolar sistemas afetados
• Restringir acesso e implementar monitorização intensificada até que patches sejam aplicados
• Documentar e rastrear todos os controlos compensatórios

Segmentação de Rede e Defesa em Profundidade

Implementar arquitetura de segurança em camadas limita o raio de explosão de comprometimentos bem-sucedidos:

Segmentação de rede:

• Dividir a rede em segmentos baseados em criticidade de ativos e requisitos de acesso
• Implementar micro-segmentação para limitar movimento lateral entre endpoints
• Utilizar firewalls internos e ACLs para controlar tráfego entre segmentos

Redundância de controlos de segurança:

• Não confiar exclusivamente em EDR, mas implementar múltiplas camadas de deteção incluindo NDR, SIEM e UEBA
• Utilizar múltiplas soluções de segurança complementares em vez de dependência de fornecedor único
• Implementar deteção tanto ao nível de endpoint como de rede

Monitorização de tráfego de rede:

• Implementar deteção de tráfego east-west (lateral movement) dentro da rede
• Monitorizar comunicações command-and-control mesmo quando endpoints estão comprometidos
• Analisar padrões de tráfego para identificar exfiltração de dados

Melhores Práticas para SOCs e Equipas de Incident Response

Estrutura de Resposta a Incidentes de Evasão de EDR

Equipas SOC e IR devem desenvolver playbooks específicos para cenários de evasão de EDR:

Fase 1: Deteção e Triagem Inicial

Estabelecer alertas de alta prioridade para agentes EDR que ficam offline inesperadamente. Correlacionar alertas de EDR offline com atividade de rede suspeita e logs do sistema. Classificar incidentes baseando-se em criticidade do ativo e indicadores de compromisso adicionais.

Fase 2: Análise e Validação

Verificar se o agente EDR foi genuinamente comprometido ou se é uma falha legítima. Examinar logs de eventos do Windows para atividade de drivers suspeita (bindflt.sys, cldflt.sys). Correlacionar com feeds de threat intelligence para identificar TTPs conhecidas.

Fase 3: Contenção e Isolamento

Isolar imediatamente endpoints afetados da rede para prevenir movimento lateral. Revogar credenciais utilizadas nesses sistemas até que análise forense seja concluída. Implementar controlos compensatórios temporários (por exemplo, monitorização de rede intensificada).

Fase 4: Erradicação e Recuperação

Remover artefactos maliciosos incluindo Bind Links, registos de sync root corrompidos e drivers vulneráveis. Restaurar agentes EDR e verificar que estão funcionais e atualizados. Validar integridade do sistema antes de restaurar conectividade de rede.

Fase 5: Análise Pós-Incidente

Documentar TTPs utilizadas, IOCs e linha temporal do ataque. Atualizar playbooks com lições aprendidas. Implementar melhorias de deteção para prevenir recorrências.

Threat Hunting Proativo

Equipas SOC devem conduzir threat hunting proativo para identificar comprometimentos antes que causem danos:

Hunting baseado em hipóteses:

• Desenvolver hipóteses específicas sobre como atacantes podem tentar evadir EDR no ambiente
• Procurar IOCs específicos de EDR-Redir e ferramentas similares (por exemplo, criação de Bind Links, operações de Cloud Filter API)
• Investigar padrões anómalos em logs de sistema de ficheiros e drivers

Hunting baseado em MITRE ATT&CK:

• Focar em táticas T1562 (Impair Defenses) e T1070 (Indicator Removal)
• Procurar técnicas específicas como T1562.001 (Disable or Modify Tools)
• Utilizar frameworks como MITRE ATT&CK para guiar hunting activities

Hunting assistido por ferramentas:

• Utilizar queries personalizadas em SIEM para identificar padrões suspeitos
• Implementar threat hunting automatizado com machine learning para identificar anomalias
• Correlacionar dados de múltiplas fontes (EDR, NDR, logs de sistema) para deteção mais precisa

Treino e Desenvolvimento de Competências

Investir no desenvolvimento contínuo de competências de equipas SOC e IR é essencial:

Treino técnico especializado:

• Fornecer treino regular sobre novas técnicas de evasão e ferramentas emergentes
• Realizar exercícios hands-on com ferramentas como EDR-Redir em ambientes de laboratório seguros
• Desenvolver competências em análise forense de drivers de kernel e operações de sistema de ficheiros

Exercícios de simulação:

• Conduzir exercícios red team/purple team que simulam ataques de evasão de EDR
• Testar playbooks de resposta a incidentes através de simulações realistas
• Identificar lacunas em deteção e resposta através de testes adversariais

Partilha de conhecimento:

• Estabelecer comunidades de prática internas para partilhar lições aprendidas
• Participar em comunidades de segurança externas e conferências
• Manter documentação atualizada sobre TTPs emergentes e contramedidas

Integração com Threat Intelligence

Equipas SOC devem integrar feeds de threat intelligence para permanecer à frente de ameaças emergentes:

Threat intelligence operacional:

• Subscrever feeds que incluem IOCs relacionados com ferramentas de evasão de EDR
• Integrar indicators em plataformas SIEM e EDR para deteção automatizada
• Atualizar regras de deteção baseando-se em inteligência sobre TTPs emergentes

Threat intelligence estratégica:

• Monitorizar fóruns de dark web e underground markets onde ferramentas de evasão são comercializadas
• Rastrear grupos de ransomware conhecidos por utilizar técnicas de bypass de EDR
• Adaptar estratégia de defesa baseando-se em tendências observadas no panorama de ameaças

Inteligência tática:

• Mapear capacidades de atacantes conhecidos que visam a organização
• Compreender TTPs específicas de grupos APT relevantes para o setor
• Priorizar defesas contra ameaças mais prováveis baseando-se em perfil de risco

Gestão de Alertas e Redução de Fadiga

SOCs enfrentam frequentemente fadiga de alertas, que pode resultar em alertas críticos sendo ignorados:

Tuning de regras de deteção:

• Refinar regras de deteção de EDR para reduzir falsos positivos sem comprometer sensibilidade
• Implementar supressão lógica de alertas para atividade benigna conhecida
• Priorizar alertas baseando-se em contexto de negócio e criticidade de ativos

Automação e orquestração:

• Implementar SOAR (Security Orchestration, Automation and Response) para automatizar respostas de Tier 1
• Utilizar machine learning para triagem automatizada de alertas
• Estabelecer playbooks automatizados para cenários comuns

Métricas e melhoria contínua:

• Rastrear métricas como tempo médio de deteção (MTTD) e tempo médio de resposta (MTTR)
• Medir eficácia de regras de deteção e taxas de falsos positivos
• Realizar revisões regulares de eficácia de SOC e implementar melhorias iterativas

Conclusão: Preparação para o Futuro da Cibersegurança

A emergência do EDR-Redir V2 sublinha uma verdade fundamental que a Dolutech sempre defende: confiar numa única camada de defesa é insuficiente contra atacantes determinados. As organizações devem adotar uma postura de defesa em profundidade que assume que qualquer controlo individual pode ser contornado e prepara-se adequadamente.

O panorama de ameaças continuará a evoluir, com atacantes desenvolvendo constantemente novas técnicas para evadir deteção. A resposta eficaz requer uma combinação de hardening técnico robusto, monitorização contínua através de múltiplas camadas de segurança, threat hunting proativo e equipas bem treinadas com playbooks testados.

Especificamente em relação ao Windows 11 e funcionalidades como Bind Links e Cloud Filter API, as organizações devem permanecer vigilantes, implementando as medidas de hardening recomendadas pela Microsoft (incluindo RedirectionGuard, LSA Protection e políticas rigorosas de controlo de drivers) enquanto mantêm visibilidade ao nível de rede que não pode ser cegada por comprometimento de endpoints.

Nós acreditamos que a colaboração entre fornecedores de segurança, investigadores e equipas defensivas é essencial. A divulgação responsável de técnicas como EDR-Redir permite que a comunidade de cibersegurança desenvolva contramedidas antes que estas ferramentas sejam amplamente exploradas. Organizações que permanecem informadas, implementam defesas em camadas e investem continuamente em capacidades de deteção e resposta estarão melhor posicionadas para resistir à próxima geração de ameaças.