В последние месяцы наблюдается рост числа атак с использованием Windows Defender Application Control (WDAC), направленных на отключение Endpoint Detection and Response (EDR) агентов. Впервые представленные в декабре 2024 года как концепт Krueger, подобные методы сейчас активно применяются злоумышленниками.
Новая угроза: Krueger и DreamDemon
Krueger включает в себя кастомную политику WDAC, препятствующую загрузке исполняемых файлов и драйверов основных производителей EDR решений. Методика атаки состоит в том, чтобы внедрить политику в папку C:\Windows\System32\CodeIntegrity и инициировать обновление групповой политики, тем самым мешая загрузке услуг и драйверов EDR.
Вместе с Krueger, появилась новая угроза под названием "DreamDemon", написанная на C++. Она внедряет политику WDAC в своё внутреннее содержание и размещает её по аналогичному пути, C:\Windows\System32\CodeIntegrity\SiPolicy.p7b. DreamDemon также скрывает файлы и использует метод "timestomping", чтобы скрыть свои следы.
Ограниченные возможности защиты и рекомендации
Существующие системы EDR в значительной степени реагируют на такие угрозы постфактум. Elastic и CrowdStrike выпустили правила детектирования, а Microsoft Defender for Endpoint обеспечивает некоторую степень защиты от злоупотребления политиками, но полного предотвращения до сих пор нет.
Для укрепления безопасности эксперты рекомендуют следить за реестровыми ключами DeviceGuard (такими как ConfigCIPolicyFilePath и DeployConfigCIPolicy) в случае неожиданных развертываний, сигнализировать о новых или переименованных файлах в C:\Windows\System32\CodeIntegrity и проверять магические байты файлов, чтобы выявлять скрытые WDAC бинарники.
Текущие события подчеркивают необходимость в совершенствовании механизмов защиты и активных мер для предупреждения подобных атак в будущем, поскольку киберпреступники продолжают изобретать новые способы обхода существующих систем безопасности.
