研究人员 Jonathan Beierle 和 Logan Goins 发现了一种利用 Microsoft 的 Windows Defender 应用程序控制 (WDAC) 的新型攻击策略。他们的研究重点介绍了攻击者如何利用 WDAC 来禁用端点检测和响应 (EDR) 系统,从而破坏传统的网络安全防御。
WDAC 是 Windows 10 和 Windows Server 2016 中引入的一项强大功能,它为组织提供了对其系统上允许的可执行代码的精细控制。虽然通常是一种防御工具,但 Beierle 和 Goins 揭示了其攻击用途的潜力,并强调“ WDAC 也可以用于攻击……以阻止遥测源和安全解决方案,例如端点检测和响应 (EDR) 传感器。”
攻击者可以利用 WDAC 应用限制性策略来阻止 EDR 软件运行,从而有效地使原本用于保护系统的工具失效。通过管理访问权限,攻击者可以远程部署恶意 WDAC 策略来禁用端点之间的安全措施,为他们提供不受监控的环境来开展进一步的恶意活动。
该研究概述了将 WDAC 武器化的三个阶段方法:
部署策略:攻击者将精心设计的 WDAC 策略放置在C:\Windows\System32\CodeIntegrity 目录中。
重启系统:该策略在重启时生效,阻止 EDR 驱动程序和应用程序运行。
利用环境:禁用 EDR 后,对手就可以自由执行其他工具并在网络内横向移动。
为了造成更广泛的影响,具有 Active Directory 域管理权限的攻击者可以通过组策略对象 (GPO) 分发恶意策略,从而系统地摧毁所有端点的安全防御。
为了简化这一过程,Goins 开发了Krueger:https://github.com/logangoins/Krueger,这是一款基于 .NET 的后开发工具,旨在远程禁用 EDR。根据研究,Krueger 可以将恶意 WDAC 策略直接部署到目标的 CodeIntegrity 文件夹中并启动系统重启。研究人员警告说,“只需应用 WDAC 策略并重新启动机器,就可以在相对较短的时间内停止每个端点上的每个 EDR 传感器。”
由于执行速度快且简单,检测此攻击具有挑战性。研究人员强调缓解策略的重要性,建议组织通过 GPO 实施强大的 WDAC 策略。通过锁定对敏感目录的权限并遵守最小特权原则,组织可以显著降低此类攻击的风险。
此外,鼓励防御者主动扫描并验证 WDAC 策略是否存在恶意配置。然而,正如研究人员警告的那样,“考虑到 WDAC 策略的结构,基于编译的 WDAC 策略检测特定的阻止规则极其困难。”
Beierle 和 Goins 总结道:“ WDAC 为防御者提供了一个绝佳的工具来阻止在 Windows 端点上执行的潜在威胁,但 WDAC 也可以用于攻击。”
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
