研究人员 Jonathan Beierle 和 Logan Goins 发现了一种利用 Microsoft 的 Windows Defender 应用程序控制 (WDAC) 的新型攻击策略。他们的研究重点介绍了攻击者如何利用 WDAC 来禁用端点检测和响应 (EDR) 系统,从而破坏传统的网络安全防御。
WDAC 是 Windows 10 和 Windows Server 2016 中引入的一项强大功能,它为组织提供了对其系统上允许的可执行代码的精细控制。虽然通常是一种防御工具,但 Beierle 和 Goins 揭示了其攻击用途的潜力,并强调“ WDAC 也可以用于攻击……以阻止遥测源和安全解决方案,例如端点检测和响应 (EDR) 传感器。”
攻击者可以利用 WDAC 应用限制性策略来阻止 EDR 软件运行,从而有效地使原本用于保护系统的工具失效。通过管理访问权限,攻击者可以远程部署恶意 WDAC 策略来禁用端点之间的安全措施,为他们提供不受监控的环境来开展进一步的恶意活动。
该研究概述了将 WDAC 武器化的三阶段方法:
-
部署策略:攻击者将精心设计的 WDAC 策略放置在 C:WindowsSystem32CodeIntegrity目录中。 -
重启系统:该策略在重启时生效,阻止 EDR 驱动程序和应用程序运行。 -
利用环境:禁用 EDR 后,对手就可以自由执行其他工具并在网络内横向移动。
为了造成更广泛的影响,具有 Active Directory 域管理权限的攻击者可以通过组策略对象 (GPO) 分发恶意策略,从而系统地摧毁所有端点的安全防御。
为了简化这一过程,Goins 开发了Krueger,这是一款基于 .NET 的后开发工具,旨在远程禁用 EDR。根据研究,Krueger 可以将恶意 WDAC 策略直接部署到目标的 CodeIntegrity 文件夹中并启动系统重启。研究人员警告说,“只需应用 WDAC 策略并重新启动机器,就可以在相对较短的时间内停止每个端点上的每个 EDR 传感器。”
由于执行速度快且简单,检测此攻击具有挑战性。研究人员强调缓解策略的重要性,建议组织通过 GPO 实施强大的 WDAC 策略。通过锁定对敏感目录的权限并遵守最小特权原则,组织可以显著降低此类攻击的风险。
此外,我们鼓励防御者主动扫描并验证 WDAC 策略是否存在恶意配置。然而,正如研究人员警告的那样,“考虑到 WDAC 策略的结构,基于编译的 WDAC 策略检测特定的阻止规则极其困难。”
Beierle 和 Goins 总结道:“ WDAC 为防御者提供了一个绝佳的工具来阻止在 Windows 端点上执行的潜在威胁,但 WDAC 也可以用于攻击。”
https://beierle.win/2024-12-20-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/
原文始发于微信公众号(独眼情报):利用 Windows Defender 进行武器化:新攻击绕过 EDR
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论