Bind Link EDR Evasion: Folder Redirection on Windows 11

The Bind Link API enables Administrators to create transparent mappings from a virtual path to a backing path (local or remote). The Bind Link feature was introduced in Windows 11 and according to Microsoft it should be used to improve application compatibility by making files stored in a network share appear as local or in scenarios where an application requires files from a different location to appear in a new location without copying the files. It is possible to abuse the feature of bind links to force the redirection of the folder containing the EDR files to a folder that a threat actor has write access to perform evasion.

Формат атаки
• Windows 11 содержит Bind Link API - механизм прозрачного маппинга виртуального пути к физическому (локальному или сетевому).
• PoC EDR-Redir (TwoSevenOneT) использует драйвер bindflt.sys, чтобы перенаправить каталог EDR в директорию с правом записи.
• В результате создаётся «зеркало» EDR-папки, где можно менять файлы, удалять их, внедрять DLL или подставлять бинарь, который затем выполняется в контексте EDR.

• Bind Link позволяет создать новую «родительскую» директорию для EDR, что визуально маскирует подмену.
• Перенаправление каталогов создаёт копию структуры EDR в backing-папке (например, C:\temp\ipurple).
• Злоумышленник может загрузить вредоносную DLL, имитирующую легитимный модуль EDR, для persistence / hijacking.

• PoC использует стандартные API:
CreateDirectoryW — создание прокси-папок,
LoadLibraryW — загрузка bindfltapi.dll,
Вызовы BfSetupFilter / BfRemoveMapping — создание/удаление bind links.

Detection
The technique of the folder redirection relies on the Bind Link API. Therefore, it is recommended to investigate if the implementation of the EDR supports monitoring of the

bindflt

driver that is used to perform the directory mapping. Alternatively, organizations should assess whether it is feasible to deploy Sysmon to enhance visibility about image load events. Correlation should be also used to validate if there are valid use cases in their environment that utilise the bindfltapi.dll to reduce the noise.

Посмотрим будет ли использовать такую фичу APT😃

🔗 https://ipurple.team/2025/12/01/bind-link-edr-tampering/
🦔THF