网络犯罪分子正利用 Windows Defender 应用程序控制(WDAC,Windows Defender Application Control)策略,系统性地禁用终端检测与响应(EDR,Endpoint Detection and Response)代理,给企业安全基础设施造成危险的防护盲区。
包括 “黑 basta”(Black Basta)勒索软件团伙在内的现实威胁行为者,现已采用一种最初以 “概念验证” 形式出现的复杂攻击技术。
- 攻击者将 WDAC 武器化,在 EDR 启动时对其实施拦截;
- 名为 “Krueger” 的概念验证工具已演变为 “DreamDemon” 等实际恶意软件;
- 事件发生九个月以来,防御措施仍存在不足,导致 EDR 系统持续暴露于风险之中。
乔纳森・贝尔勒(Jonathan Beierle)已发现多个恶意软件家族利用 WDAC 策略瘫痪 EDR 系统,相当于将微软自家的安全功能反过来用于攻击自身。
该技术的核心是部署恶意 WDAC 策略,通过创建应用程序控制规则,阻止 EDR 的可执行文件、驱动程序和服务运行。
攻击者通过操纵C:\Windows\System32\CodeIntegrity\SiPolicy.p7b文件路径,能在系统启动过程中、EDR 代理初始化之前就部署这些恶意策略。
乔纳森・贝尔勒表示,WDAC 的武器化始于 “Krueger” 工具的发布 —— 这是一款基于.NET 框架的概念验证工具,首次证明了 WDAC 可用于禁用 EDR 系统。
自 2024 年 12 月该工具发布以来,网络安全研究人员观察到威胁行为者对其的采用率大幅上升,2025 年全年在恶意软件仓库中出现了多份相关样本。
对捕获样本的分析显示,攻击者针对性地瞄准了主流 EDR 厂商,包括 CrowdStrike(Falcon 产品)、SentinelOne、微软终端防御(Microsoft Defender for Endpoint)、赛门铁克终端防护(Symantec Endpoint Protection)以及 Tanium 等。
恶意 WDAC 策略包含特定的文件路径规则(例如%OSDRIVE%\Program Files\CrowdStrike\*),以及针对驱动程序的拦截规则(例如%SYSTEM32%\drivers\CrowdStrike\*)。
一款名为 “DreamDemon” 的新型恶意软件家族已出现,标志着该攻击技术的进一步进化。与最初基于.NET 编写的 Krueger 工具不同,DreamDemon 样本由 C++ 代码编译而成,具备更强的隐蔽能力。
这些样本将 WDAC 策略嵌入为资源文件,通过\\localhost\C$等本地 SMB 共享路径部署策略,并采用文件隐藏、时间戳篡改(timestomping)等技术规避检测。
攻击流程遵循固定的四步流程:
- 调用
FindResourceW、LoadResource、LockResource等 Windows API 函数,从可执行文件资源中加载嵌入的策略;
- 将策略文件放置到关键的
CodeIntegrity目录中;
- 对策略文件进行隐藏和时间戳篡改;
- 创建诱饵日志文件,掩盖攻击痕迹。
(策略路径:计算机配置 > 软件设置 > Windows 设置 > 管理模板 > 系统 > Device Guard > 部署 Windows Defender 应用程序控制)
该策略设置允许向计算机部署代码完整性策略,以控制该设备上允许运行的程序。
- 支持系统版本:至少为 Windows Server 2016、Windows 10
- 代码完整性策略文件路径:
C:\Users\Public\work-project.pdf(示例路径,实际攻击中可能为恶意文件路径)
- 设置选项:未配置、已启用、已禁用
DreamDemon 样本展现出极高的技术复杂度:在部署策略后,会执行gpupdate /force命令(强制更新组策略),这表明其已整合到组策略对象(GPO)中,以实现策略的持久化应用。
该技术利用 “计算机配置> 管理模板 > 系统 > Device Guard > 部署 Windows Defender 应用程序控制” 这一设置项,从任意位置加载恶意策略。
恶意策略基于微软AllowAll.xml模板,采用改进的 “黑名单” 机制 —— 在允许正常系统运行的同时,选择性地拦截安全产品。
针对 Windows 11 和 Server 2025 系统的高级样本,还会在文件路径规则中使用多个通配符 —— 这一功能在早期 Windows 版本中并不支持。
可通过以下方式检测此类攻击:
- 监控注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard中ConfigCIPolicyFilePath和DeployConfigCIPolicy的值;
- 分析文件签名不匹配情况(恶意 WDAC 策略常伪装成其他文件类型);
- 部署 YARA 规则,针对嵌入的策略签名和特定 API 调用模式进行检测。
自该攻击技术首次披露以来,九个月时间里其有效性仍未显著下降 —— 尽管威胁路径已被广泛知晓,但 EDR 厂商部署的防御能力仍十分有限,这给网络安全行业带来了严峻挑战。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
