Windows Defender成攻擊者的利器,可禁用EDR
據(jù)Cyber Security News消息,安全專家發(fā)現(xiàn)了一種復(fù)雜的攻擊技術(shù),能利用 Windows Defender 應(yīng)用程序控制 (WDAC) 來禁用 Windows 設(shè)備上的端點(diǎn)檢測和響應(yīng) (EDR) 傳感器,攻擊者可以此繞過安全檢測對系統(tǒng)發(fā)動攻擊。
WDAC 是 Windows 10 和 Windows Server 2016 引入的一項(xiàng)技術(shù),旨在讓組織對 Windows 設(shè)備上的可執(zhí)行代碼進(jìn)行精細(xì)控制。

利用WDAC的攻擊技術(shù)屬于 MITRE ATT&CK 框架的 "損害防御 "類別(T1562),允許擁有管理權(quán)限的攻擊者制定和部署專門設(shè)計(jì)的 WDAC 策略。這些策略可以有效阻止 EDR 傳感器在系統(tǒng)啟動時加載,使其無法工作,讓攻擊者可以在不受這些關(guān)鍵安全解決方案限制的情況下進(jìn)行操作。
攻擊方式多種多樣,既可以針對單個設(shè)備,也可以攻擊整個域。 在最嚴(yán)重的情況下,擁有域管理員權(quán)限的攻擊者可以在整個組織內(nèi)分發(fā)惡意 WDAC 策略,系統(tǒng)性地禁用所有端點(diǎn)上的 EDR 傳感器。
攻擊的工作原理
攻擊涉及三個主要階段:

- 策略放置:攻擊者創(chuàng)建自定義 WDAC 策略,允許自己的工具在阻止安全解決方案的同時執(zhí)行。然后將此策略放置在目標(biāo)計(jì)算機(jī)上的C:\Windows\System32\CodeIntegrity\目錄中。
- 重啟終端: 由于 WDAC 策略只有在重啟后才會應(yīng)用,因此攻擊者會重啟終端以執(zhí)行新策略。
- 禁用 EDR:重新啟動后,惡意策略將生效,阻止 EDR 傳感器啟動并使系統(tǒng)容易受到進(jìn)一步危害。
安全人員創(chuàng)建了一種專門為這種攻擊載體設(shè)計(jì)的 "Krueger "的概念驗(yàn)證工具,可以作為后開發(fā)活動的一部分在內(nèi)存中運(yùn)行,如果被攻擊者掌握,將成為對方的有力進(jìn)攻武器。
雖然利用合法的 Windows 功能讓檢測這種攻擊具有挑戰(zhàn)性,但專家建議采取幾種緩解策略。
緩解策略
- 通過 GPO 執(zhí)行 WDAC 策略: 部署可覆蓋本地更改的中央 WDAC 策略,確保惡意策略無法生效。
- 應(yīng)用最小權(quán)限原則: 限制修改 WDAC 策略、訪問 SMB 共享或?qū)懭朊舾形募A的權(quán)限。
- 實(shí)施安全的管理實(shí)踐: 使用 Microsoft 的本地管理員密碼解決方案 (LAPS) 等工具禁用或保護(hù)本地管理員賬戶。
一家財(cái)富 500 強(qiáng)公司的首席信息安全官已發(fā)出警告,稱實(shí)施強(qiáng)大的訪問控制和定期審核 WDAC 策略現(xiàn)在比以往任何時候都更加重要。
隨著安全工具越來越復(fù)雜,顛覆其合理用途的方法也越來越多,在面對新出現(xiàn)的攻擊技術(shù)時,需要采取多層次的網(wǎng)絡(luò)安全方法,并時刻保持警惕。






























