Bilgisayar korsanları EDR temsilcilerini kapatmak için Windows Defender politikalarından yararlanıyor


Siber suçlular artık son nokta algılama ve yanıt (EDR) ajanlarını toplu olarak devre dışı bırakmak için Windows Defender Uygulama Kontrolü (WDAC) politikalarını silahlandırıyor.

Aralık 2024’te bir kavram kanıtı araştırma sürümü olarak başlayan şey, hızla aktif bir tehdide dönüştü ve birden fazla kötü amaçlı yazılım ailesi, güvenlik araçlarını tamamen tespit etmek ve engellemek için WDAC politika istismarını benimsedi.

“Krueger” olarak adlandırılan orijinal kavram kanıtı, bir saldırganın, uç nokta ve velociraptor için Crowdstrike, Sentinelone, Symantec, Tanyum, Microsoft Defender dahil olmak üzere, büyük EDR satıcılarına ait yürütülebilir dosyaları ve sürücüleri seçici olarak engelleyen özel bir WDAC politikasını nasıl yerleştirebileceğini gösterdi.

Politikayı CodeIntegrity klasörüne bırakarak ve bir grup politikası güncellemesini tetikleyerek Krueger, EDR hizmetlerini ve sürücülerin hedef sistemde yüklenmesini etkin bir şekilde önledi.

Açıklamadan kısa bir süre sonra, tehdit aktörleri Krueger’i vahşi doğada konuşlandırmaya başladı. Orijinal araştırmacı tarafından kurulan bir YARA kuralı, Ocak ve Ağustos 2025 arasında SHA-256 Hashes 90937B3A64CC834088A0628fda9ce63f6987884c41da467 ve A795B79F1D821B8EA7B21C7FB95D140512AAF5A186DA49B9C68D8A3ED545A89.

Bu örneklerin analizi, EDR dosya yollarını ve sürücü adlarını hedefleyen ortak bir blok kuralları kümesinin yanı sıra Microsoft Defender’ın temel hizmetlerine bağlı tanımlayıcılar ortaya çıkardı.

Bu momentuma dayanarak, “Dreamdemon” olarak bilinen yeni bir kötü amaçlı yazılım ailesi ortaya çıktı ve ikinci bir WDAC sömürüsünün dalgasına işaret etti.

Krueger’in .NET uygulamasından farklı olarak, DreamDemon C ++ ile yazılmıştır ve doğrudan kaynaklarına bir WDAC politikasını yerleştirir.

Yürütme üzerine, politikayı C: \ Windows \ System32 \ CodeIntegrity \ sipolicy.p7b olarak yazar, dosyayı gizler ve zamanlama yapar ve hatta bir GPUPDATE komutunu tetikler – ancak bu yalnızca sistemin grup politikası kötü niyetli politika konumuna başvurmak için önceden yapılandırılmışsa geçerlidir.

DreamDemon örnekleri, mevcut çalışma dizininde (app.log) veya c: \ windows \ temp \ app_log.log’da, muhtemelen şifreli veya gizlenmiş meta veriler içeren günlükleri düşürür.

Hem Krueger hem de Dreamdemon tarafından kullanılan kötü niyetli politikalar, EDR önleme yeteneklerindeki eksiklikleri göstermektedir.

Dosya Yolu Kuralları, çekirdek modu kodunu tam olarak engelleyemez ve Beazley güvenlik olayında gözlemlenen imza tabanlı bloklar, tanıdık tanımlayıcıları gizleyerek triyajı tamamlar.

Eylül 2025 itibariyle, endüstri tespiti reaktif olmaya devam ediyor: Elastik ve Crowdstrike tespit kurallarını yayınladı ve uç nokta için Microsoft savunucusu politika kötüye kullanımı önleyebilir, ancak hiçbir satıcı WDAC tabanlı kapanmalara karşı kapsamlı bir önleyici kontrol sunmaz.

WDAC politikalarını keyfi konumlardan yüklemek için grup politika nesneleri (GPO)
WDAC politikalarını keyfi konumlardan yüklemek için grup politika nesneleri (GPO)

Bu tehdide karşı koymak için güvenlik ekipleri, beklenmedik politika dağıtımları için Windows Cihaz Guard kayıt defteri anahtarlarını (ConfigcipolicyFilePath ve DağıtımConfigcipolicy) izlemelidir.

C: \ Windows \ System32 \ CodeIntegrity’deki yeni veya yeniden adlandırılmış dosyalarda uyarılmak da düşmüş politikaları yakalayabilir. Son olarak, dosya sihir baytlarının uzantılara karşı doğrulanması (örn., WDAC ikili olarak maskelenen bir .pdf) gizli politikaları ortaya çıkarabilir.

WDAC, savunma özelliğinden saldırgan bir silah haline getirdiğinden, kuruluşlar ortaya çıkan bu politika temelli saldırı sınıfına karşı korunmak için önleme, tespit ve yanıt stratejilerini uyarlamalıdır.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link