威胁行为者利用 WDAC 策略
网络犯罪分子正利用 Windows Defender 应用程序控制(WDAC,Windows Defender Application Control)策略,系统性地禁用终端检测与响应(EDR,Endpoint Detection and Response)代理,给企业安全基础设施造成危险的防护盲区。 包括 “黑 basta”(Black Basta)勒索软件团伙在内的现实威胁行为者,现已采用一种最初以 “概念验证” 形式出现的复杂攻击技术。核心要点
乔纳森・贝尔勒(Jonathan Beierle)已发现多个恶意软件家族利用 WDAC 策略瘫痪 EDR 系统,相当于将微软自家的安全功能反过来用于攻击自身。攻击技术原理
该技术的核心是部署恶意 WDAC 策略,通过创建应用程序控制规则,阻止 EDR 的可执行文件、驱动程序和服务运行。 攻击者通过操纵C:\Windows\System32\CodeIntegrity\SiPolicy.p7b文件路径,能在系统启动过程中、EDR 代理初始化之前就部署这些恶意策略。
威胁行为者将 WDAC 策略武器化
乔纳森・贝尔勒表示,WDAC 的武器化始于 “Krueger” 工具的发布 —— 这是一款基于.NET 框架的概念验证工具,首次证明了 WDAC 可用于禁用 EDR 系统。 自 2024 年 12 月该工具发布以来,网络安全研究人员观察到威胁行为者对其的采用率大幅上升,2025 年全年在恶意软件仓库中出现了多份相关样本。 对捕获样本的分析显示,攻击者针对性地瞄准了主流 EDR 厂商,包括 CrowdStrike(Falcon 产品)、SentinelOne、微软终端防御(Microsoft Defender for Endpoint)、赛门铁克终端防护(Symantec Endpoint Protection)以及 Tanium 等。 恶意 WDAC 策略包含特定的文件路径规则(例如%OSDRIVE%\Program Files\CrowdStrike\*),以及针对驱动程序的拦截规则(例如%SYSTEM32%\drivers\CrowdStrike\*)。
“DreamDemon” 恶意软件:攻击技术的进化
一款名为 “DreamDemon” 的新型恶意软件家族已出现,标志着该攻击技术的进一步进化。与最初基于.NET 编写的 Krueger 工具不同,DreamDemon 样本由 C++ 代码编译而成,具备更强的隐蔽能力。 这些样本将 WDAC 策略嵌入为资源文件,通过\\localhost\C$等本地 SMB 共享路径部署策略,并采用文件隐藏、时间戳篡改(timestomping)等技术规避检测。
攻击流程遵循固定的四步流程:
本地计算机策略相关配置
(策略路径:计算机配置 > 软件设置 > Windows 设置 > 管理模板 > 系统 > Device Guard > 部署 Windows Defender 应用程序控制) 该策略设置允许向计算机部署代码完整性策略,以控制该设备上允许运行的程序。DreamDemon 的高级攻击特性
DreamDemon 样本展现出极高的技术复杂度:在部署策略后,会执行gpupdate /force命令(强制更新组策略),这表明其已整合到组策略对象(GPO)中,以实现策略的持久化应用。
该技术利用 “计算机配置> 管理模板 > 系统 > Device Guard > 部署 Windows Defender 应用程序控制” 这一设置项,从任意位置加载恶意策略。
恶意策略基于微软AllowAll.xml模板,采用改进的 “黑名单” 机制 —— 在允许正常系统运行的同时,选择性地拦截安全产品。
针对 Windows 11 和 Server 2025 系统的高级样本,还会在文件路径规则中使用多个通配符 —— 这一功能在早期 Windows 版本中并不支持。
检测机制建议
可通过以下方式检测此类攻击:行业安全挑战
自该攻击技术首次披露以来,九个月时间里其有效性仍未显著下降 —— 尽管威胁路径已被广泛知晓,但 EDR 厂商部署的防御能力仍十分有限,这给网络安全行业带来了严峻挑战。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论