Атака WDAC создает угрозу для корпоративной безопасности

Киберпреступники начали активно применять политики Windows Defender Application Control (WDAC), чтобы систематически отключать Endpoint Detection and Response (EDR) агентов, тем самым создавая значительные пробелы в безопасности корпоративных систем. Этот новый метод атаки был выявлен Джонатаном Байерли; он обнаружил, что ряд семейств вредоносного ПО используют злонамеренные политики WDAC, блокирующие выполненные EDR, драйверы и службы путем манипуляции файлом C:\Windows\System32\CodeIntegrity\SiPolicy.p7b до инициализации EDR при загрузке системы.

Выход за пределы концепции

Первоначально техника основана на инструменте доказательства концепции на базе .NET под названием "Krueger", который был выпущен в декабре 2024 года. С тех пор атака эволюционировала в полноценное вредоносное ПО, такое как "DreamDemon", написанное на C++. Исследования показывают, что цель злоумышленников - это крупные поставщики EDR, включая CrowdStrike Falcon, SentinelOne, Symantec Endpoint Protection и Tanium. У злоумышленников есть доступ к постановке политик, которые ссылаются на пути, такие как %OSDRIVE%\Program Files\CrowdStrike\* и %SYSTEM32%\drivers\CrowdStrike\*.

Образцы DreamDemon интегрируют политики WDAC в виде ресурсов и разворачивают их через локальные SMB ссылки типа \localhost\C$, скрывают файлы политики и изменяют их временные метки и создают ложные логи, исполняя gpupdate /force для загрузки политик через групповую политику. Процесс атаки обычно подчиняется следующему сценарию:

• Загрузка внедренных ресурсов политики через FindResourceW, LoadResource, LockResource;
• Размещение политики в директории CodeIntegrity;
• Скрытие и изменение временных меток файла политики;
• Создание ложных логов для скрытия активности.

Злонамеренные политики применяют черный список, основанный на шаблоне Microsoft AllowAll.xml, чтобы обеспечить нормальное функционирование системы при селективной блокировке средств безопасности. Продвинутые образцы эксплуатируют новые функции Windows, включая множественные подстановочные знаки в правилах пути для новых версий серверов. Техники детектирования включают мониторинг ключей реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard для ConfigCIPolicyFilePath и DeployConfigCIPolicy, анализ несоответствия подписей, где политики маскируются как другие типы файлов, и YARA-правила, нацеленные на сигнатуры встроенных политик и специфические шаблоны вызовов API.

Спустя девять месяцев после первоначального раскрытия, данная техника остается эффективной, в то время как защиты EDR остаются недостаточными против этого вектора атаки.

Обновлено: 01.09.2025