该报告聚焦于利用白名单中的差距进行恶意活动的技术手段,特别是针对Windows系统环境下的安全防御机制。报告的主要内容如下:
-
白名单规避策略:
- 受信任应用程序的利用:信任的应用程序可以通过规避白名单约束来执行未经授权的恶意操作。
- 路径规则的攻击:攻击者可利用弱路径规则,如
C:\ Windows\ *,C:\ Windows\ Temp,C:\ Windows\ System32\ *,C:\ Windows\ System32\ Spool\ Drivers\ Color等,来进行恶意操作。
-
技术手段:
- 内核模式Minifilter驱动程序:用于在内核模式下做出决策支持/批准微滤波器/事件监视器。
- 信任决策路径:涉及软件发行商(证书)哈希值,用于验证应用程序的信任程度。
- 漏洞利用:报告指出漏洞可以被修补,但架构缺陷无法修复。
-
案例分析:
- AppLocker默认规则:演示了.NET实用程序和策略如何被默认信任,但攻击者对此更感兴趣,因为它们遵循“允许任何未明确拒绝的操作”原则。
- Mimikatz和InstallUtil绕过:展示了如何利用InstallUtil和RegAsm绕过管理员权限需求,以及Metasploit中的InstallUtil绕过。
- RegAsm和外壳代码:阐述了RegAsm的取消注册功能工作原理,并介绍了通过DLLhost.exe和PowerShell脚本的执行规避方法。
- EMET保护:讨论了如何使用EMET(Enhanced Mitigation Experience Toolkit)来增强对Excel等应用程序的保护,特别是在处理HTA(HTML应用)和VBA(Visual Basic for Applications)时的规避。
-
新兴趋势与解决方案:
- Windows 10设备防护:强调了基于虚拟化的安全性和管理程序层的重要性。
- 用户模式代码完整性(UMCI):提供了一种不需要额外配置/部署的安全机制。
- PowerShell约束语言模式:作为一种可能的解决方案,以提高对白名单防御的对抗能力。
-
策略与建议:
- 动态机器策略:从最静态的机器开始,逐步实施安全措施。
- 日志模式运行:通过日志记录来监控执行和新二进制文件的活动。
- 获取Endpoint执行和新二进制文件的可见性:以更好地识别和响应潜在威胁。
报告最终呼吁关注白名单策略中的弱点,以及利用这些弱点进行恶意活动的风险,并提出了多种技术和策略来增强系统的安全性和防御能力。
