Нова усъвършенствана атака използва Windows Defender, за да заобиколи EDR

Усъвършенствана техника за кибератаки използва Windows Defender Application Control (WDAC), за да деактивира EDR.

WDAC е въведена с Windows 10 и Windows Server 2016 и предоставя на организациите фин контрол върху изпълнимия код на техните устройства. Експерти по сигурността обаче откриват, че хакерите могат да използват тази функция в своя полза. Това потенциално оставя цели мрежи уязвими за атаки.

Техниката позволява на нападатели с административни привилегии да изготвят и внедрят специално разработени политики за WDAC. Те могат ефективно да блокират EDR по време на зареждането на системата. По този начин нападателите работят без ограниченията на тези критични за сигурността решения.

Атаката може да бъде извършена по различни начини – от насочване към отделни машини до компрометиране на цели домейни. В най-тежките сценарии нападател с права на администратор на домейн може да разпространи злонамерени WDAC политики в цялата организация.

Атаката включва три основни фази:

• атакуващият създава персонализирана WDAC политика, която позволява на собствените му инструменти да се изпълняват и блокира решенията за сигурност. След това тази политика се поставя в директорията C:\Windows\System32\CodeIntegrity\ на целевата машина;
• нападателят рестартира крайната точка, за да приложи новата политика;
• при рестартиране тя влиза в сила, като не позволява на EDR да се активира и оставя системата уязвима за по-нататъшно компрометиране.

Откриването на този тип атаки е предизвикателство заради използването на легитимни функции на Windows. Но за да смекчите тяхното въздействие, трябва да предприемете следните мерки:

• внедрете централни WDAC политики, които отменят локалните промени. Това гарантира, че злонамерените правила не могат да влязат в сила;
• прилагайте принципа на най-малките привилегии. Ограничете разрешенията за промяна на WDAC политиките и записите в чувствителни папки;
• деактивирайте или защитете локалните администраторски акаунти с инструменти като Local Administrator Password Solution (LAPS) на Microsoft.

С усъвършенстването на инструментите за сигурност се усъвършенстват и методите за тяхното преодоляване. Това подчертава необходимостта от многопластов подход към киберсигурността и постоянна бдителност от страна на бизнесите.