Im Zentrum von Bitdefenders Analyse stehen drei Varianten der Manipulation von Bind-Links. Die erste Technik nennen die Forscher „Datei-Bindung“, also eine einfache Pfadübernahme. Dabei wird ein eigentlich vertrauenswürdiger Pfad so umgeleitet, dass er auf eine vom Angreifer vorbereitete Datei zeigt. Verweist der Zielpfad etwa auf eine DLL, lädt ein Prozess statt der erwarteten Bibliothek die Datei des Angreifers aus einem vermeintlich vertrauenswürdigen Pfad.
Als Beispiel führt Bitdefender die Umgehung von AMSI.dll an, also der Antimalware Scan Interface. PowerShell lädt amsi.dll normalerweise, um Skriptinhalte vor der Ausführung zu prüfen; auch Windows Script Host, die JavaScript- und VBScript-Engines sowie Office-Makropfade greifen laut Bericht auf AMSI zurück. Wird jedoch der Pfad per Bind-Link gekapert, kann PowerShell zu einer gefälschten DLL des Angreifers umgeleitet werden. Für gewöhnliche Dateisystem-Monitore im Benutzermodus und die meisten EDR-Produkte bleibt das unsichtbar, weil sie den virtuellen Pfad sehen, nicht aber den manipulierten tatsächlichen Zielpfad.
Die zweite Technik bezeichnet Bitdefender als „Prozess-Bindung“. Sie überträgt das Prinzip auf ausführbare Dateien und kann laut den Forschern ebenfalls zur Umgehung von EDR-Erkennung dienen. Wenn ein Prozess dem Dateipfad vertraut, kann ein Bind-Link ihn auf eine harmlose Datei umlenken. Bitdefender nennt winver.exe als Beispiel. Ein EDR-Produkt prüft dabei den gemeldeten Pfad und geht davon aus, die richtige Datei zu untersuchen, obwohl es in Wirklichkeit nur die unverdächtige winver.exe sieht. Der eigentliche Code des Angreifers bleibt für EDR und Anwender unsichtbar.
Diese Methode hat laut Bitdefender jedoch einen Haken: Der Link ist global und kann deshalb von anderen Scannern entdeckt werden. Komponenten, die Pfade erneut öffnen, könnten Unstimmigkeiten erkennen. Um dieses Problem zu umgehen, brauche ein Angreifer zwei verschiedene Dateisystemansichten: eine, in der der vertrauenswürdige Name zum Schadcode aufgelöst wird, und eine zweite, in der der Schadcodepfad zurück auf die saubere Originaldatei zeigt.
Genau das soll die dritte Technik leisten, die Bitdefender „Silo-Bindung“ nennt. Sie setzt ein benutzerdefiniertes Windows-Silo voraus. Das ist laut Bitdefender zwar nicht einfach umzusetzen, aber möglich, wenn ein Angreifer bereits Administratorrechte erlangt hat. Ein Silo gibt darin laufenden Prozessen eine isolierte Sicht auf Systempfade, Registrierung und Objektnamen. Ein Bind-Link innerhalb dieses Silos ist nicht global und lässt sich außerhalb des Silos nicht erkennen.
Innerhalb des Silos kann der vertrauenswürdige Pfad auf Malware des Angreifers zeigen. Damit Scanner außerhalb des Silos diese Malware nicht finden, wird ein zweiter Link eingerichtet, der vom Schadcode zurück auf die saubere Originaldatei verweist. Laut Bitdefender beschreibt bindflt.sys damit je nach Ausführungskontext zwei entgegengesetzte Wege zwischen denselben Dateien: Innerhalb des Silos wird beim Öffnen des vertrauenswürdigen Pfads der Schadcode geladen, außerhalb des Silos wird jede Suche nach dem Schadcode still auf die harmlose Datei umgelenkt.
Bitdefender nennt als mögliche Folgen der Silo-Bindung die Umgehung von AppLocker und der Windows-Firewall sowie eine Vergiftung von Sysmon. Außerdem testeten die Forscher, ob ein EDR standardmäßiges Mimikatz erkennt. Ohne Silo-Bindung war das der Fall, mit Silo-Bindung jedoch nicht. Microsoft stuft die Bedrohung dennoch als gering ein, weil lokale Administratorrechte erforderlich sind. Bitdefender verweist dagegen auf BYOVD, also das Mitbringen eines eigenen verwundbaren Treibers, das ebenfalls Administratorrechte voraussetzt und laut dem Unternehmen zu einem verbreiteten Standardbaustein moderner Ransomware-Abläufe geworden ist. Der Missbrauch von Bind-Links gebe denselben Angreifern einen weiteren Weg, den Endpoint-Agenten zu blenden — ohne verwundbaren Treiber, sondern allein mit einer dokumentierten Windows-Funktion und bereits vorhandenen Administratorrechten.
