【安全资讯】利用Windows Defender的武器化：新攻击绕过EDR

概要：

研究人员Jonathan Beierle和Logan Goins揭示了一种新型攻击策略，利用微软的Windows Defender应用程序控制（WDAC）来禁用端点检测与响应（EDR）系统。这一发现突显了对传统网络安全防御的威胁，表明WDAC不仅是防御工具，也可能被恶意利用。

主要内容：

WDAC是Windows 10和Windows Server 2016中引入的一项强大功能，通常用于控制系统中允许执行的代码。然而，Beierle和Goins的研究表明，攻击者可以利用WDAC施加限制性策略，阻止EDR软件的运行，从而有效中和保护系统的工具。攻击者通过远程部署恶意WDAC策略，能够在端点上禁用安全措施，创造出一个不受监控的环境以进行进一步的恶意活动。

研究者们提出了武器化WDAC的三阶段方法：首先，攻击者将精心制作的WDAC策略放置在C:\Windows\System32\CodeIntegrity目录中；其次，重启系统使策略生效，阻止EDR驱动程序和应用程序的运行；最后，利用EDR被禁用的环境，攻击者可以自由执行其他工具并在网络中横向移动。为了扩大影响，拥有Active Directory域管理权限的攻击者可以通过组策略对象（GPO）分发恶意策略，系统性地削弱所有端点的安全防御。

研究者们还开发了名为Krueger的.NET后渗透工具，旨在远程禁用EDR。研究指出，Krueger可以将恶意WDAC策略直接部署到目标的CodeIntegrity文件夹中并启动系统重启。由于执行速度快且简单，检测此类攻击极具挑战性。研究者强调，组织应通过GPO强制实施强健的WDAC策略，以降低此类攻击的风险。