Pesquisadores liberaram uma ferramenta chamada GhostLocker que demonstra como políticas do AppLocker podem ser usadas para bloquear componentes userland de soluções EDR, tornando-as efetivamente cegas apesar de drivers de kernel continuarem carregados.
Descoberta e escopo
O relato publicado pelo Cyber Security News, assinado por Guru Baran, descreve a ferramenta desenvolvida pelo pesquisador conhecido como zero2504. GhostLocker explora a autoridade legítima de administradores sobre políticas de aplicação (AppLocker) para impor regras do tipo "Deny" a executáveis de EDR. A publicação afirma que, em testes contra produtos comerciais, a técnica alcançou neutralização completa dos componentes userland.
Vetor e modos de operação
- Modo dinâmico: a ferramenta enumera processos em execução para gerar regras precisas que bloqueiem os binários do EDR alvo.
- Modo estático: usa caminhos curinga (por exemplo, *\MsMpEng.exe) para bloquear alvos sem necessidade de enumeração prévia.
A lógica é simples: AppLocker não termina processos já em execução, mas políticas aplicadas seguidas de reboot impedem que os serviços userland sejam reiniciados, deixando apenas drivers (*.sys) em execução no kernel.
Evidências, limites e citações
Conforme a matéria, "the tool does not block the EDR’s kernel drivers (*.sys). These drivers continue to load, register callbacks, and collect telemetry." No entanto, os autores do teste relatam que essa telemetria se torna inútil sem os componentes user-mode responsáveis por correlação e análise. A publicação enfatiza que não se trata de um exploit, mas do abuso de um recurso legítimo do sistema operacional.
Mitigações e recomendações
O texto indica medidas práticas recomendadas pelos autores da pesquisa: monitorar alterações em políticas do AppLocker (por exemplo, sinais IOCTL em AppID.sys) e garantir que os próprios produtos de segurança utilizem APIs como Get-AppLockerFileInformation para pré-validar sua capacidade de execução. Essas recomendações visam identificar mudanças maliciosas na política antes que impeçam a execução dos componentes críticos de defesa.
Implicações operacionais
GhostLocker evidencia uma lacuna arquitetural: a dependência que muitos EDRs têm de componentes userland para análise comportamental. Mesmo com drivers ativos, a incapacidade dos serviços de usuário de processar e reportar eventos pode criar uma falsa sensação de proteção nas consoles de gestão, já que alguns heartbeats permanecem operacionais apesar da perda das funções analíticas.
Limitações da matéria
A reportagem apresenta resultados de testes contra "comercial EDR products" sem listar fornecedores específicos ou métricas detalhadas de ambiente, o que limita a avaliação do alcance real da técnica em ambientes heterogêneos. Não há, no item RSS, indicadores de exploração ativa em ataques reais — trata‑se de uma prova de conceito e de uma ferramenta de pesquisa que demonstra o vetor.
Observações finais
Organizações que dependem de EDRs devem revisar controles de gerenciamento de políticas (incluindo delegações administrativas), monitoramento de alterações em AppLocker e estratégias de resiliência que não dependam exclusivamente de componentes userland. A matéria original e o repositório associado ao projeto (citado pelo autor) são as fontes primárias para equipes de segurança que queiram reproduzir e testar as defesas contra esse vetor.