<aside>
<img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**
</aside>
https://www.youtube.com/shorts/LP0WAfS56mg
연구원 Jonathan Beierle와 Logan Goins는 Microsoft의 Windows Defender Application Control(WDAC)을 악용하여 Endpoint Detection and Response(EDR) 시스템을 우회하는 새로운 공격 기법을 발견하였습니다. WDAC는 원래 시스템에서 실행되는 코드에 대한 세부적인 제어를 제공하는 방어 도구로 설계되었으나, 공격자는 이를 활용해 보안 솔루션을 무력화할 수 있습니다. 공격자는 WDAC 정책을 조작하여 EDR 드라이버와 애플리케이션의 실행을 차단하고, 관리 권한을 통해 원격으로 악성 정책을 배포함으로써 보안 조치를 무력화합니다. 이 공격은 시스템 재부팅 후 정책이 활성화되며, 공격자는 탐지되지 않은 상태에서 추가 악성 도구 실행 및 네트워크 이동을 수행할 수 있습니다. 연구진은 이 공격을 더욱 쉽게 실행할 수 있도록 Krueger라는 .NET 기반 도구를 개발하였으며, 이를 통해 악성 WDAC 정책을 배포하고 시스템을 재부팅하여 EDR을 효과적으로 비활성화할 수 있습니다. 이에 따라 조직은 강력한 WDAC 정책 관리, 권한 최소화 및 WDAC 구성 검증을 통해 이러한 공격을 예방할 것을 권장합니다.
📌 콘텐츠 제작: AI 📌 콘텐츠 검수: