در حالیکه سازمانها برای مقابله با بدافزارها و باجافزارها بیش از هر زمان دیگری به Windows Defender Application Control (WDAC) و EDR تکیه کردهاند، مهاجمان سایبری روشهای خلاقانهای برای دور زدن این مکانیزمها توسعه دادهاند. کشف تکنیکهای جدید نشان میدهد که حتی در محیطهایی با سختگیرانهترین سیاستهای application allowlisting نیز امکان اجرای کد مخرب وجود دارد. نگرانکنندهتر اینکه این حملات اغلب از دید EDR ها پنهان میمانند.
این تکنیک چگونه کار میکند؟
محققان امنیتی گزارش دادهاند که مهاجمان از دو مسیر اصلی برای دور زدن WDAC استفاده میکنند:
سوءاستفاده از ابزارهای قانونی (LOLBINs/LOLBAS) :
پروسههایی مانند wuauclt.exe یا اپلیکیشنهای Electron با موتور V8، بهعنوان پروسههای امضاشده و مجاز توسط WDAC اجرا میشوند. مهاجم با تزریق DLL یا اجرای Shellcode از طریق این پروسهها، کد مخرب را در قالب یک فعالیت کاملاً معتبر وارد سیستم میکند.
WinDbg Preview (WinDbgX.exe) :
نسخهی Store این ابزار توسط WDAC در لیست مسدودسازی قرار نداشت. مهاجمان توانستهاند با استفاده از قابلیتهایی مانند SetThreadContext کد دلخواه را در پروسههای معتبر اجرا کنند.
چرا EDR هم فریب میخورد؟
✅ اعتماد به امضای دیجیتال: EDRها معمولاً به فایلهای امضاشده توسط Microsoft اعتماد میکنند. وقتی حمله از طریق همین فایلها انجام شود، EDR بهسختی آن را مشکوک تشخیص میدهد.
✅ رفتار طبیعی پروسهها: بارگذاری DLL یا اجرای اسکریپت توسط پروسههای قانونی در شرایط عادی نیز رخ میدهد. بنابراین، EDR بهسادگی نمیتواند تفاوت رفتار مشروع و مخرب را تشخیص دهد.
✅ Stealth Attack : حملات بهصورت Living off the Land طراحی میشوند، یعنی مهاجم هیچ ابزار ناشناختهای وارد سیستم نمیکند و صرفاً از امکانات موجود بهره میبرد.
پیامدها برای سازمانها
✅ تضعیف WDAC بهعنوان خط دفاعی کلیدی
✅ کاهش قابلیت اعتماد به EDR برای شناسایی تهدیدات پیشرفته
✅ افزایش احتمال موفقیت حملات Post-Exploitation مانند lateral movement و credential dumping
راهکارهای دفاعی با تمرکز بر EDR
۱. Behavioral Detection:
قوانین شناسایی صرفاً بر اساس فایل و امضا کافی نیستند. باید روی رفتارهای غیرمعمول مانند بارگذاری DLL از مسیرهای ناشناخته یا استفادهی غیرعادی از توابع سیستمی تمرکز کرد.
۲. Custom Detection Rules:
در EDR/SIEM قوانینی ایجاد کنید که اجرای پروسههایی مثل wuauclt.exe یا WinDbgX.exe همراه با DLL یا اسکریپت غیرمعمول را پرچمگذاری کند.
۳. Blocking Risky LOLBINs:
اجرای ابزارهایی که استفادهی مدیریتی محدودی دارند (مانند WinDbgX.exe) را در WDAC بلاک کنید.
۴. PowerShell Constrained Language Mode:
محدود کردن اجرای دستورات PowerShell برای کاهش ریسک حملات تزریقی.
۵. Telemetry & Sysmon Logging:
ثبت و مانیتورینگ دقیق فرآیندها با Sysmon و بررسی تغییرات در رجیستری و ماژولهای بارگذاریشده.
مقالات مرتبط: تحلیل عمیق تهدیدات با Sysmon| راهکاری قدرتمند برای جمعآوری داده EDR در SOC
نتیجهگیری
کشف این تکنیکهای WDAC Bypass نشان میدهد که اعتماد کامل به مکانیزمهای allowlisting یا EDR signature-based یک اشتباه استراتژیک است. امنیت آینده نیازمند ترکیب Allowlisting + Behavioral Monitoring + Threat Hunting فعال است. سازمانهایی که میخواهند در برابر حملات stealth مقاوم بمانند، باید به سمت دفاع رفتارمحور حرکت کنند و پیوسته قوانین شناسایی خود را بهروزرسانی کنند.
