关键词
一种复杂的攻击技术,利用 Windows Defender 应用程序控制 (WDAC) 来禁用 Windows 机器上的端点检测和响应 (EDR) 传感器。
WDAC 是 Windows 10 和 Windows Server 2016 中引入的一项技术,旨在让组织对其 Windows 设备上的可执行代码进行细粒度控制。
然而,安全专家发现,恶意行为者可以利用此功能,从而可能使整个网络容易受到攻击。
该技术属于 MITRE ATT&CK 框架的“削弱防御”类别(T1562),允许具有管理权限的攻击者制定和部署专门设计的 WDAC 策略。
这些策略可以有效阻止 EDR 传感器在系统启动期间加载,使其无法运行,并允许对手在不受这些关键安全解决方案约束的情况下进行操作。
攻击可以以各种方式执行,从针对单个计算机到破坏整个域。在最严重的情况下,具有域管理员权限的攻击者可以在整个组织中分发恶意 WDAC 策略,系统地禁用所有端点上的EDR 传感器。
攻击如何进行
此次攻击涉及三个主要阶段:
策略放置:攻击者创建自定义 WDAC 策略,允许自己的工具执行,同时阻止安全解决方案。然后,将此策略放置在
C:\Windows\System32\CodeIntegrity\目标计算机上的目录中。重启要求:由于 WDAC 策略仅在重启后才适用,因此攻击者需要重新启动端点以强制执行新策略。
禁用 EDR:重新启动后,恶意策略生效,阻止 EDR 传感器启动并使系统容易受到进一步攻击。
一个名为“Krueger”的概念验证工具已经出现,专门针对这种攻击媒介而设计。Krueger 由安全研究员 Logan Goins 创建,可以作为后利用活动的一部分在内存中运行,使其成为攻击者武器库中的有力武器。
由于此攻击使用了合法的 Windows 功能,因此检测起来很困难,但专家建议采取几种缓解策略。
这些措施包括通过组策略强制执行 WDAC 策略、限制代码完整性文件夹和 SMB 共享的权限以及遵守网络管理中的最小特权原则。
缓解策略
组织可以通过以下方式减少受到此威胁的风险:
通过 GPO 执行 WDAC 策略:部署覆盖本地更改的中央 WDAC 策略,确保恶意策略无法生效。
应用最小特权原则:限制修改 WDAC 策略、访问 SMB 共享或写入敏感文件夹的权限。
实施安全管理实践:使用 Microsoft 的本地管理员密码解决方案 (LAPS) 等工具禁用或保护本地管理员帐户。
一家财富 500 强公司的首席信息安全官马克·约翰逊警告称:“组织需要意识到这种威胁并采取主动措施。实施强大的访问控制和定期审核 WDAC 政策现在比以往任何时候都更加重要。”
随着安全工具变得越来越复杂,破坏它们的方法也越来越复杂。这凸显了采取多层次网络安全方法的必要性,以及在新兴攻击技术面前保持警惕的必要性。
当网络安全社区努力应对这一新威胁时,我们敦促各组织审查其安全态势并确保采取适当的保障措施。
来源:https://cybersecuritynews.com/attack-weaponizes-windows-defender/
END
阅读推荐
【安全圈】iOS 设备比 Android 设备更容易受到网络钓鱼的攻击
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
