0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Исследователи безопасности обнаружили способ обхода защиты Windows через настройки AppLocker

leer en español

Microsoft Windows AppLocker GhostLocker EDR обход защиты реестр
Исследователи безопасности обнаружили способ обхода защиты Windows через настройки AppLocker
Microsoft Windows AppLocker GhostLocker EDR обход защиты реестр

Ошибка кроется в самой логике работы административных политик.

image

В механизме контроля запуска приложений Windows обнаружен способ обхода защитных средств через злоупотребление правилами AppLocker. Метод позволяет блокировать процессы систем обнаружения и реагирования, после чего на узле можно выполнять сторонние программы без их участия. Описание техники и демонстрационный инструмент с таким поведением разобрали специалисты в техническом отчёте.

AppLocker появился ещё в Windows 7 как средство ограничения запуска исполняемых файлов, скриптов и установщиков по заданным правилам. Он снижает поверхность атаки за счёт разрешительных политик, но по умолчанию не активирован и требует точной настройки под среду. Управление проверками выполняет служба Application Identity. Если она отключена, правила не применяются. Политики хранятся в реестре и отдельных системных файлах, что открывает возможность для их изменения при наличии административных прав.

Авторы исследования показали PoC-инструмент под названием GhostLocker. Он автоматически формирует запрещающие правила для исполняемых файлов защитных платформ и добавляет их в политику AppLocker. Перед этим активируется служба идентификации приложений, затем собирается список запущенных процессов и выбираются целевые агенты защиты, включая компоненты Microsoft Defender и сторонние EDR. После применения новых правил и обновления групповой политики такие процессы перестают запускаться после перезагрузки системы.

В результате защитный агент продолжает работать на уровне драйвера и собирать сырые данные, однако пользовательская часть перестаёт обрабатывать телеметрию. Это фактически лишает систему полноценного контроля и создаёт окно для скрытого запуска вредоносных программ. Код демонстрационного инструмента выполняет ряд операций в памяти и использует кодирование Base64 для передачи команд PowerShell.

Для обнаружения подобной активности предлагается контролировать события AppLocker и изменения связанных ключей реестра. В журналах Windows важны события с идентификаторами 8001 и 8004, которые отражают применение политик и блокировку запуска файлов. Дополнительно рекомендуется отслеживать аудит изменений ключей AppIDSvc и ветки SrpV2, где размещаются правила. Полезным индикатором также считается событие 7040, фиксирующее изменение параметров служб.

Отдельное внимание советуют уделять вызовам системных API, используемых для перечисления процессов. Моделирование атаки в рамках тестовых упражнений помогает выявить пробелы в телеметрии и донастроить правила корреляции. На момент публикации нет подтверждённых кампаний, где такой приём применялся в реальных атаках, однако подготовка механизмов выявления названа более надёжной стратегией, чем реакция постфактум.