據(jù)Cyber Security News消息，安全專家發(fā)現(xiàn)了一種復(fù)雜的攻擊技術(shù)，能利用 Windows Defender 應(yīng)用程序控制 (WDAC) 來禁用 Windows 設(shè)備上的端點(diǎn)檢測和響應(yīng) (EDR) 傳感器，攻擊者可以此繞過安全檢測對系統(tǒng)發(fā)動攻擊。

WDAC 是 Windows 10 和 Windows Server 2016 引入的一項(xiàng)技術(shù)，旨在讓組織對 Windows 設(shè)備上的可執(zhí)行代碼進(jìn)行精細(xì)控制。

利用WDAC的攻擊技術(shù)屬于 MITRE ATT&CK 框架的 "損害防御 "類別（T1562），允許擁有管理權(quán)限的攻擊者制定和部署專門設(shè)計(jì)的 WDAC 策略。這些策略可以有效阻止 EDR 傳感器在系統(tǒng)啟動時加載，使其無法工作，讓攻擊者可以在不受這些關(guān)鍵安全解決方案限制的情況下進(jìn)行操作。

攻擊方式多種多樣，既可以針對單個設(shè)備，也可以攻擊整個域。 在最嚴(yán)重的情況下，擁有域管理員權(quán)限的攻擊者可以在整個組織內(nèi)分發(fā)惡意 WDAC 策略，系統(tǒng)性地禁用所有端點(diǎn)上的 EDR 傳感器。

攻擊的工作原理

攻擊涉及三個主要階段：

• 策略放置：攻擊者創(chuàng)建自定義 WDAC 策略，允許自己的工具在阻止安全解決方案的同時執(zhí)行。然后將此策略放置在目標(biāo)計(jì)算機(jī)上的C:\Windows\System32\CodeIntegrity\目錄中。
• 重啟終端： 由于 WDAC 策略只有在重啟后才會應(yīng)用，因此攻擊者會重啟終端以執(zhí)行新策略。
• 禁用 EDR：重新啟動后，惡意策略將生效，阻止 EDR 傳感器啟動并使系統(tǒng)容易受到進(jìn)一步危害。

安全人員創(chuàng)建了一種專門為這種攻擊載體設(shè)計(jì)的 "Krueger "的概念驗(yàn)證工具，可以作為后開發(fā)活動的一部分在內(nèi)存中運(yùn)行，如果被攻擊者掌握，將成為對方的有力進(jìn)攻武器。

雖然利用合法的 Windows 功能讓檢測這種攻擊具有挑戰(zhàn)性，但專家建議采取幾種緩解策略。

緩解策略

• 通過 GPO 執(zhí)行 WDAC 策略： 部署可覆蓋本地更改的中央 WDAC 策略，確保惡意策略無法生效。
• 應(yīng)用最小權(quán)限原則： 限制修改 WDAC 策略、訪問 SMB 共享或?qū)懭朊舾形募A的權(quán)限。
• 實(shí)施安全的管理實(shí)踐： 使用 Microsoft 的本地管理員密碼解決方案 (LAPS) 等工具禁用或保護(hù)本地管理員賬戶。

一家財(cái)富 500 強(qiáng)公司的首席信息安全官已發(fā)出警告，稱實(shí)施強(qiáng)大的訪問控制和定期審核 WDAC 策略現(xiàn)在比以往任何時候都更加重要。

隨著安全工具越來越復(fù)雜，顛覆其合理用途的方法也越來越多，在面對新出現(xiàn)的攻擊技術(shù)時，需要采取多層次的網(wǎng)絡(luò)安全方法，并時刻保持警惕。