使用AppLocker入门
John Strand //
我经常接到客户的电话,他们不知道从何开始实施应用程序白名单。许多组织试图在整个环境中对每个应用程序实施完整的应用程序白名单,虽然这个目标听起来很有趣且似乎是个好主意,但实际上并非如此。
但……为什么?
因为开销太大了。跟上所有变化并处理补丁几乎是一项全职工作。有些组织试图购买产品来替他们完成这项工作,但这几乎从未成功过。
永远不要试图寻找简单的按钮。每次你这样做,上帝都会出于恶意在你的网络上部署另一个机器人。而且,他是一个报复心强的神。不要惹他生气。
相反,我们应该问:有没有办法达到80%的效果?有没有办法实施某种程度的白名单,阻止95%以上的路过式攻击?
答案是肯定的。
在这篇博客中,我们将介绍如何使用Windows AppLocker基于目录实现白名单。
但首先,让我们看看没有运行AppLocker时会发生什么。我们将设置一个简单的后门,并让它连接回ADHD系统。请记住,目标不是展示如何绕过EDR和端点产品,而是创建一个简单的后门并让它连接回来。
顺便说一下,我们将使用ADHD。你可以在这里找到它: https://www.activecountermeasures.com/free-tools/adhd
此外,我们将在默认的Windows 10系统上展示这一点。没有安装防病毒软件。本博客的目标是逐步介绍AppLocker,而不是绕过防病毒软件。
想绕过防病毒软件?请查看以下网络广播:
首先,我们需要一些恶意软件。
幸运的是,我们有几个脚本可以大大简化这个过程。请确保你的Windows和Linux系统都在运行。
在你的Linux系统上,请运行以下命令:
|
|
请记下你的以太网适配器的IP地址。
请注意,我的适配器名为ens33,IP地址为192.168.123.128。你的IP地址和适配器名称可能不同。
请记下你的ADHD Linux系统的IP地址:
现在,运行以下命令来启动一个简单的后门和后门监听器:
|
|
现在,从你的Windows系统浏览到你的Linux系统,下载恶意软件并运行它!
现在,当你回到你的ADHD Linux系统时,你应该看到一个Meterpreter会话:
现在,让我们阻止这种情况发生!
首先,让我们配置AppLocker。为此,你需要以管理员帐户访问Windows系统上的本地安全策略。
只需按下Windows键(键盘左下角,看起来像Windows徽标),然后键入“Local Security”。它应该会弹出如下菜单。请选择“Local Security Policy”。
接下来,我们需要配置AppLocker。为此,请转到“Security Settings” > “Application Control Policies”,然后选择“AppLocker”。
在右侧窗格中,你会看到所有策略都有0条规则强制执行。我们将添加默认规则。我们选择默认规则,因为这样不太可能搞坏系统。
请选择上述每个规则组(可执行文件、Windows安装程序、脚本和打包应用),对于每个组,在显示“There are no items to show in this view”的区域右键单击,然后选择“Create Default Rules”。
这应该会为每个组生成一组规则。它应该看起来类似于下面的样子:
现在,我们需要启动应用程序身份服务。这是通过按下Windows键并键入“Services”来完成的。这将打开服务应用程序。请选择它,然后双击“Application Identity”。
当应用程序身份属性对话框打开时,请按下“Start”按钮。这将启动服务。
现在,我们需要在你的Windows系统上创建一个标准用户帐户。我将其命名为“whitelist”。
接下来,以管理员身份注销,并以“whitelist”身份重新登录。
现在,让我们浏览到你的Linux系统,下载恶意软件并再次尝试运行它。
你应该会收到一个错误。
这个目标的目的是展示基于目录路径创建默认规则是多么容易。
这是100%有效的吗?不,甚至差得远。它会阻止大量的路过式攻击并让大多数渗透测试人员哭吗?
绝对会。
顺便说一下,你是否在寻找关于如何通过Active Directory中的组策略实现这一点的网络广播?
很酷。看看这个:
想提升你的技能并直接从John本人那里学到更多?你可以查看他的以下课程!
- SOC核心技能
- 主动防御和网络欺骗
- 使用BHIS和MITRE ATT&CK开始安全之旅
- 渗透测试入门
提供实时/虚拟和点播形式。