Windows 11绑定链接安全风险解析：EDR-Redir工具如何实现EDR规避与篡改

绑定链接（Bind Links）API 允许管理员创建从虚拟路径到后端路径（本地或远程）的透明映射。该功能随 Windows 11 引入，微软设计其初衷在于提升应用程序兼容性，例如让存储在网络共享中的文件如同本地文件一般被访问，或在不复制文件的前提下，为应用程序虚拟化一个新的文件位置视图。

然而，这项功能同样存在被滥用的风险。攻击者可以强制将受保护的端点检测与响应（EDR）系统文件目录，重定向到一个其拥有写入权限的文件夹，从而实现对该安全软件的规避与篡改。

在 Windows 系统中，应用程序通常安装在 Program Files、Program Files (x86) 和 ProgramData 目录下。EDR 系统也不例外。为保障其自身安全，EDR 对其安装目录的文件写入权限进行了严格限制。

安全研究人员 TwoSevenOneT 发布了一款名为 EDR-Redir 的概念验证工具。该工具利用 bindflt.sys 驱动程序，将 EDR 的受保护文件夹重定向至攻击者可写的目录，从而为篡改 EDR 文件或执行恶意代码创造条件。此工具使用 C++ 开发，可通过命令行执行，其主要参数包括虚拟路径（EDR文件夹）、后端路径（攻击者控制目录）以及一个可选的异常路径。

基本用法示例：

EDR-Redir.exe “C:\ProgramData\Microsoft” C:\temp\ipurple “C:\ProgramData\Microsoft\Windows Defender”

执行后，控制台会显示绑定链接的创建信息，并且 C:\ProgramData\Microsoft 文件夹的结构将在后备路径 C:\temp\ipurple 中被镜像重建。

在实际攻击场景中，威胁行为者可能仅指定 EDR 的安装路径和后备路径：

EDR-Redir.exe “C:\ProgramData\Microsoft\Windows Defender” C:\temp\ipurple

这将导致受攻击者控制的文件夹 ipurple 成为 Windows Defender 目录的“影子副本”，其中包含与原始文件夹相同的文件结构。攻击者可借此将恶意 DLL 植入此伪造文件夹，通过 DLL 劫持实现持久化，或放置任意可执行文件以期在 EDR 的高权限上下文中执行。

检测与缓解

该文件夹重定向技术依赖于 Bind Link API。因此，安全团队应首先确认部署的 EDR 解决方案是否具备对 bindflt 驱动相关操作的监控能力。

签名检测：
技术水平较低的威胁行为者可能直接使用 GitHub 上公开的 EDR-Redir 工具。由于该工具未经过可信机构签名，大多数 EDR 系统可基于签名直接阻止其执行。然而，高级攻击者可能具备代码签名能力，因此检测不应仅依赖于此。

API 与 DLL 监控：
EDR-Redir 工具通过 CreateDirectoryW API 创建目录，并通过 LoadLibraryW API 加载 bindfltapi.dll 来实现核心功能。关键函数调用如下：

HMODULE hBindflt = LoadLibraryW(L“bindfltapi.dll”);
if (hBindflt) {
    MyCreateBindLink = (PtrCreateBindLink)GetProcAddress(hBindflt, “BfSetupFilter”);
    MyRemoveBindLink = (PtrRemoveBindLink)GetProcAddress(hBindflt, “BfRemoveMapping”);
}

关键的驱动文件 bindflt.sys 和动态库 bindfltapi.dll 均位于系统目录：

C:\Windows\System32\bindfltapi.dll
C:\Windows\System32\drivers\bindflt.sys

增强可见性建议：
组织应考虑部署 Sysmon 等系统监控工具来增强对此类活动的可见性。Sysmon 能够通过事件 ID 7（镜像加载）捕获进程加载 bindfltapi.dll 的行为。

以下是一个示例 Sysmon 检测规则，可用于识别加载该 DLL 的可疑进程：

<RuleGroup name=“bindfltapi.dll loading” groupRelation=“or”>
  <ImageLoad onmatch=“include”>
    <ImageLoaded condition=“contains”>bindfltapi.dll</ImageLoaded>
  </ImageLoad>
</RuleGroup>

当规则触发时，Sysmon 会记录相关进程信息。安全运营中心（SOC）团队需结合环境基线，判断该行为是否来自可信的管理或开发活动，从而减少误报。所有 Sysmon 日志应被收集并转发至 SIEM 系统，以便进行集中分析和告警。

总结

绑定链接的文件夹重定向技术可被用于规避 Windows 11 系统上的 EDR 防护，具体手法包括镜像 EDR 文件夹、删除关键文件或在 EDR 上下文中执行恶意代码。主流的 EDR 产品已逐步引入对相关活动的监控。作为纵深防御的一部分，SOC 团队应评估自身 EDR 的检测有效性，并考虑通过部署 Sysmon 等辅助工具来弥补监控盲点，构建更全面的威胁检测能力。