Các tác nhân đe dọa đang tích cực khai thác WDAC (Windows Defender Application Control) để vô hiệu hóa hàng loạt các tác nhân Endpoint Detection and Response (EDR). Tình hình này bắt nguồn từ một nghiên cứu PoC vào tháng 12 năm 2024 và nhanh chóng trở thành một mối đe dọa mạng thực tế. Nhiều biến thể malware hiện lạm dụng chính sách WDAC để trốn tránh phát hiện và chặn hoàn toàn các công cụ bảo mật.

Mã độc Krueger và Cơ chế Vượt qua EDR Ban Đầu

Krueger, một khái niệm PoC (Proof-of-Concept) ban đầu, đã minh chứng cách một kẻ tấn công có thể nhúng chính sách WDAC tùy chỉnh. Chính sách này được thiết kế để chặn có chọn lọc các tệp thực thi và trình điều khiển thuộc về các nhà cung cấp EDR lớn. Bao gồm CrowdStrike, SentinelOne, Symantec, Tanium, Microsoft Defender for Endpoint, và Velociraptor.

Theo tài liệu nghiên cứu gốc “A Nightmare on EDR Street: WDAC’s Revenge”, bằng cách đưa chính sách này vào thư mục CodeIntegrity và kích hoạt cập nhật Group Policy, Krueger đã ngăn chặn hiệu quả các dịch vụ và trình điều khiển EDR tải trên hệ thống mục tiêu. Điều này đã làm tê liệt khả năng giám sát và phòng thủ của EDR.

Từ PoC đến Khai thác Thực tế

Chỉ sau thời gian ngắn công bố, các tác nhân đe dọa đã bắt đầu triển khai Krueger trong thực tế. Một quy tắc YARA được nhà nghiên cứu ban đầu thiết lập đã xác định một số mẫu Krueger mới. Những mẫu này xuất hiện trong khoảng thời gian từ tháng 1 đến tháng 8 năm 2025.

Phân tích các mẫu này cho thấy một bộ quy tắc chặn chung. Các quy tắc này nhắm mục tiêu vào đường dẫn tệp EDR và tên trình điều khiển. Đồng thời, chúng cũng bao gồm các mô tả liên quan đến các dịch vụ cốt lõi của Microsoft Defender. Điều này khẳng định mục tiêu vượt qua EDR có chủ đích.

DreamDemon: Thế hệ Mã độc Khai thác WDAC Tiếp theo

Dựa trên đà phát triển này, một dòng mã độc mới với tên gọi DreamDemon đã xuất hiện. Sự xuất hiện này báo hiệu làn sóng thứ hai của việc khai thác WDAC trên diện rộng. DreamDemon thể hiện sự tiến hóa đáng kể trong kỹ thuật tấn công.

Điểm khác biệt kỹ thuật và Cơ chế Triển khai

Không giống như Krueger được triển khai bằng .NET, DreamDemon được viết bằng C++. Nó nhúng trực tiếp chính sách WDAC vào tài nguyên của nó. Điều này giúp mã độc trở nên khó phát hiện và phân tích hơn.

Khi thực thi, DreamDemon ghi chính sách vào đường dẫn C:WindowsSystem32CodeIntegritySiPolicy.p7b. Sau đó, nó ẩn và thay đổi dấu thời gian (timestomp) của tệp này để tránh bị phát hiện. Mã độc cũng kích hoạt lệnh gpupdate.

Tuy nhiên, lệnh gpupdate chỉ có hiệu lực nếu Group Policy của hệ thống đã được cấu hình trước để tham chiếu đến vị trí chính sách độc hại. Nếu không, kẻ tấn công có thể cần một phương pháp kích hoạt khác để đảm bảo chính sách được áp dụng.

Dấu vết trên hệ thống

Các mẫu DreamDemon thường tạo các tệp nhật ký. Những tệp này có thể nằm trong thư mục làm việc hiện tại với tên app.log. Hoặc chúng có thể được tìm thấy tại C:WindowsTempapp_log.log. Các tệp nhật ký này có thể chứa siêu dữ liệu được mã hóa hoặc làm xáo trộn, gây khó khăn cho việc điều tra. Việc giám sát các vị trí này là cần thiết để phát hiện hoạt động của mã độc khai thác WDAC.

Những Hạn Chế Của EDR Trong Phòng Chống Khai thác WDAC

Các chính sách độc hại được sử dụng bởi Krueger và DreamDemon đã phơi bày những thiếu sót nghiêm trọng trong khả năng phòng ngừa của các giải pháp EDR hiện tại. Đây là một thách thức lớn đối với an ninh mạng doanh nghiệp.

Các quy tắc dựa trên đường dẫn tệp không thể chặn hoàn toàn mã chế độ kernel (kernel-mode code). Điều này cho phép các tác nhân đe dọa tiếp tục hoạt động ở cấp độ sâu hơn của hệ điều hành mà không bị EDR ngăn chặn.

Ngoài ra, các khối dựa trên chữ ký, như đã được quan sát trong một sự cố bảo mật của Beazley Security, có thể làm phức tạp quá trình điều tra. Chúng ẩn đi các định danh quen thuộc, gây khó khăn cho việc phân loại và xử lý sự cố. Việc này làm giảm hiệu quả của phản ứng an ninh.

Tính đến tháng 9 năm 2025, việc phát hiện trong ngành vẫn mang tính phản ứng. Elastic và CrowdStrike đã phát hành các quy tắc phát hiện. Microsoft Defender for Endpoint có thể ngăn chặn việc lạm dụng chính sách. Tuy nhiên, chưa có nhà cung cấp nào cung cấp một biện pháp kiểm soát phòng ngừa toàn diện chống lại các cuộc tấn công tắt EDR dựa trên WDAC. Điều này nhấn mạnh nhu cầu cấp thiết về các giải pháp an ninh mạng chủ động hơn.

Indicators of Compromise (IOCs)

Để hỗ trợ các nhóm bảo mật trong việc phát hiện và ứng phó, dưới đây là các chỉ số thỏa hiệp (IOCs) liên quan đến mã độc Krueger và DreamDemon:

• SHA-256 Hashes của Krueger:
  • 90937b3a64cc834088a0628fda9ce5bd2855bedfc76b7a63f698784c41da4677
  • a795b79f1d821b8ea7b21c7fb95d140512aaef5a186da49b9c68d8a3ed545a89
• Đường dẫn tệp nhật ký của DreamDemon:
  • app.log (trong thư mục làm việc hiện tại)
  • C:WindowsTempapp_log.log
• Đường dẫn tệp chính sách WDAC độc hại:
  • C:WindowsSystem32CodeIntegritySiPolicy.p7b
• Khóa Registry cần giám sát (Windows DeviceGuard):
  • ConfigCIPolicyFilePath
  • DeployConfigCIPolicy

Chiến Lược Phòng Ngừa và Phát Hiện Cho An ninh mạng

Để đối phó với mối đe dọa này, các nhóm bảo mật cần điều chỉnh chiến lược phòng ngừa, phát hiện và ứng phó của mình. Việc khai thác WDAC đòi hỏi các biện pháp bảo mật chặt chẽ hơn và khả năng thích ứng liên tục.

Giám sát Registry của Windows DeviceGuard

Các tổ chức nên giám sát chặt chẽ các khóa Registry của Windows DeviceGuard. Cụ thể là ConfigCIPolicyFilePath và DeployConfigCIPolicy. Những khóa này lưu trữ thông tin về đường dẫn đến các chính sách kiểm soát tính toàn vẹn mã. Bất kỳ triển khai chính sách bất ngờ hoặc thay đổi giá trị nào trên các khóa này đều cần được cảnh báo ngay lập tức, vì chúng có thể chỉ ra một nỗ lực nhằm khai thác WDAC.

Ví dụ, để kiểm tra các giá trị này thông qua PowerShell:

Get-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlDeviceGuardScenariosCodeIntegrity" -Name "ConfigCIPolicyFilePath"
Get-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlDeviceGuardScenariosCodeIntegrity" -Name "DeployConfigCIPolicy"

Phát hiện Thay đổi Hệ thống Tệp

Việc cảnh báo về các tệp mới hoặc tệp được đổi tên trong thư mục C:WindowsSystem32CodeIntegrity có thể giúp phát hiện các chính sách WDAC độc hại bị thả vào hệ thống. Đây là vị trí mà các chính sách WDAC được hệ thống tải và áp dụng. Giám sát thư mục này là một bước quan trọng trong việc ngăn chặn các cuộc tấn công vượt qua EDR và đảm bảo tính toàn vẹn của hệ thống.

Các giải pháp giám sát tính toàn vẹn tệp (FIM) có thể được cấu hình để theo dõi các thay đổi trong thư mục này. Điều này cung cấp một lớp bảo vệ bổ sung chống lại việc khai thác WDAC và các hành vi lạm dụng chính sách.

Xác thực Magic Bytes và Mở rộng Tệp

Cuối cùng, việc xác thực “magic bytes” của tệp so với phần mở rộng của nó có thể giúp tiết lộ các chính sách ẩn. Ví dụ, một tệp có phần mở rộng .pdf nhưng chứa magic bytes của một tệp nhị phân WDAC (P7B) có thể là dấu hiệu của một chính sách độc hại đang cố gắng che giấu bản chất thực của nó. Kỹ thuật này hiệu quả trong việc phát hiện các nỗ lực che giấu nhằm khai thác WDAC thông qua giả mạo tệp.

Khi WDAC chuyển đổi từ một tính năng phòng thủ thành một vũ khí tấn công, các tổ chức phải thích nghi. Việc củng cố các chiến lược phòng ngừa, phát hiện và ứng phó là tối quan trọng để bảo vệ chống lại loại tấn công dựa trên chính sách đang nổi lên này. Bảo đảm an ninh mạng vững chắc đòi hỏi sự cảnh giác liên tục và khả năng thích ứng với các kỹ thuật tấn công mới.