新型攻击利用 Windows Defender 绕过 EDR

据Cybersecuritynews消息，研究人员发现一种复杂的攻击技术，该技术利用 Windows Defender 应用控制（WDAC）来禁用 Windows 机器上的端点检测和响应（EDR）传感器。WDAC 本是用于让组织精细管控 Windows 设备可执行代码的技术，却遭恶意人员利用。攻击者凭借管理权限制定并部署特制 WDAC 政策，能在系统启动时阻止 EDR 传感器加载。攻击分政策放置、重启要求、禁用 EDR 三个主要阶段，还有名为 “Krueger” 的概念验证工具出现。