تکنیک جدید، قابلیت امنیتی WDAC ویندوز را دور زده و EDR را فریب می‌دهد

محققان امنیتی از کشف یک تکنیک جدید و هوشمندانه برای دور زدن قابلیت کنترل برنامه ویندوز دیفندر (Windows Defender Application Control - WDAC) پرده‌برداری کرده‌اند. این روش با سوءاستفاده از یک ابزار قانونی و امضاشده توسط خود مایکروسافت، به مهاجمان اجازه می‌دهد تا کدهای غیرمجاز را بر روی سیستم‌هایی که تحت شدیدترین تدابیر امنیتی قرار دارند، اجرا کنند. نگران‌کننده‌تر اینکه، این تکنیک اغلب می‌تواند از دید راهکارهای امنیتی پیشرفته مانند EDR نیز پنهان بماند.

جزئیات تهدید چیست؟

• نوع تهدید: دور زدن مکانیزم کنترل برنامه (Application Control Bypass) با استفاده از تکنیک "Living off the Land".

• سیستم هدف: قابلیت Windows Defender Application Control (WDAC) در نسخه‌های مدرن ویندوز (ویندوز ۱۰، ۱۱ و سرور).

• ابزار مورد سوءاستفاده: در این تکنیک، از ابزار خط فرمان wuauclt.exe (Windows Update AutoUpdate Client) که یک فایل اجرایی قانونی و امضاشده توسط مایکروسافت است، سوءاستفاده می‌شود.

• تأثیر: اجرای کدهای مخرب (مانند اسکریپت‌های PowerShell یا فایل‌های DLL) بر روی سیستم‌هایی که برای جلوگیری از اجرای هرگونه نرم‌افزار غیرمجاز پیکربندی شده‌اند.

• وضعیت: این یک تکنیک دور زدن (Bypass) است که از عملکرد یک ابزار قانونی سوءاستفاده می‌کند. مدیران سیستم باید برای مقابله با آن، اقدامات پیشگیرانه انجام دهند.

تکنیک چگونه عمل می‌کند؟

این حمله بر پایه سوءاستفاده از یک ابزار معتبر برای اجرای یک کد نامعتبر استوار است:

1. شناسایی ابزار قانونی (LOLBAS): مهاجم از wuauclt.exe استفاده می‌کند. از آنجایی که این یک فایل سیستمی و امضاشده توسط مایکروسافت است، WDAC به طور پیش‌فرض به آن اجازه اجرا می‌دهد.

2. سوءاستفاده از قابلیت‌های پنهان: مهاجم با فراخوانی wuauclt.exe به همراه پارامترهای خاص و دستکاری‌شده، از یک قابلیت جانبی این ابزار برای بارگذاری (Load) یک فایل DLL دلخواه از یک منبع خارجی یا محلی سوءاستفاده می‌کند.

3. اجرای کد مخرب: ابزار قانونی wuauclt.exe، بدون اینکه متوجه باشد، فایل DLL مخرب مهاجم را در حافظه بارگذاری و اجرا می‌کند.

4. دور زدن WDAC و فریب EDR: از دید WDAC، تنها یک فرآیند معتبر و امضاشده (wuauclt.exe) در حال اجراست، بنابراین هیچ هشداری صادر نمی‌شود. همچنین، از آنجایی که این رفتار (بارگذاری DLL) می‌تواند در شرایط عادی نیز رخ دهد، بسیاری از راهکارهای EDR ممکن است آن را به عنوان یک فعالیت مشکوک پرچم‌گذاری نکنند و فریب بخورند.

وضعیت فعلی تهدید

این تکنیک توسط محققان امنیتی به صورت عمومی مستند شده است. اگرچه این یک آسیب‌پذیری کلاسیک نیست که مایکروسافت بتواند با تغییر فایل wuauclt.exe آن را مستقیماً "وصله" کند، اما یک ضعف در مدل امنیتی به شمار می‌رود. گروه‌های هکری پیشرفته و مهاجمان در مراحل پس از نفوذ (Post-Exploitation) به طور گسترده از این نوع تکنیک‌های "Living off the Land" برای حرکت جانبی و پنهان ماندن در شبکه‌های به شدت محافظت‌شده استفاده می‌کنند.

چگونه از خود محافظت کنیم؟

• مسدودسازی یا نظارت بر LOLBASهای پرخطر: مدیران سیستم می‌توانند با استفاده از قوانین WDAC یا فایروال، اجرای ابزارهایی مانند wuauclt.exe را در صورتی که برای اهداف مدیریتی ضروری نیست، مسدود کنند یا بر روی اجرای آن نظارت دقیق داشته باشند.

• تقویت قوانین WDAC: صرفاً تکیه بر امضای دیجیتال کافی نیست. در صورت امکان، از قوانین مبتنی بر هش (Hash) برای فایل‌های اجرایی استفاده کنید تا تنها نسخه‌های کاملاً مشخصی از فایل‌ها اجازه اجرا داشته باشند.

• ایجاد قوانین شناسایی سفارشی (Detection Rules): در راهکار EDR یا SIEM خود قوانینی ایجاد کنید که رفتارهای مشکوک مرتبط با این تکنیک را شناسایی کنند. برای مثال، هر زمان که wuauclt.exe تلاش کرد یک فایل DLL را از یک مسیر غیرمنتظره بارگذاری کند، یک هشدار صادر شود.

• استفاده از PowerShell Constrained Language Mode: فعال کردن این حالت در PowerShell می‌تواند از اجرای بسیاری از اسکریپت‌های مخرب که ممکن است توسط این تکنیک فراخوانی شوند، جلوگیری کند.

چرا این تهدید مهم است؟

قابلیت WDAC یکی از قوی‌ترین و مؤثرترین لایه‌های دفاعی در برابر بدافزارها و به خصوص باج‌افزارها در اکوسیستم ویندوز است. کشف تکنیک‌هایی که می‌توانند این سپر دفاعی را دور بزنند، امنیت سازمان‌هایی را که به آن متکی هستند، به طور جدی تضعیف می‌کند. این نوع حملات که از ابزارهای قانونی خود سیستم‌عامل استفاده می‌کنند، به شدت پنهان‌کار هستند و شناسایی آن‌ها برای تیم‌های امنیتی بسیار دشوار است، زیرا فعالیت مخرب در میان هزاران فرآیند عادی و قانونی سیستم گم می‌شود. این تهدید، محدودیت‌های مدل امنیتی "لیست مجاز" (Allowlisting) را نشان می‌دهد و بر ضرورت نظارت مستمر بر رفتار سیستم تأکید می‌کند.