Red Hot Cyber, The cybersecurity news

Red Hot Cyber

Cybersecurity is about sharing. Recognize the risk, combat it, share your experiences, and encourage others to do better than you.
Select language
Spanish Italian
Search

Ransomware Gangs weaponize Windows Defender Application Control (WDAC) to disable EDR products.

Alex Necula : 13 January 2025 17:01

In the past days we saw that Ransomware Gangs use WDAC to disable EDR products.

I have known this type of attack for a year when a guy posts a similar technique on Twitter, but this is the first time that was used in Ransomware Attacks.

So, it’s time to explain how it works and how to check it.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. 
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
 Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. 
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

First, the WDAC is a feature of Microsoft that is very similar to App Locker. We need to download Application Control Wizard from Microsoft webpage.

After we install it, we can open it and define the policy.

Select Policy Creator.
Select Singe Policy Format.
Select Default Windows Mode
For all these rules and how they work we can check them on Microsoft sites.

Here we can do two things, block all External Third parts application and Add a Custom Path that we can launch everything or in our case we can block only a defined publisher. So, remove all default rules and click on Add Custom, select User mode Rule and Rule Action Deny. Click on Publisher on Rule Type and choose the reference file from the disk that has the desired publisher that we want to block. In our case is the PE from an EDR product.

After that the Wizard produced two files, a .p7b and an .xml file.

Now we can copy the .p7b file in C:\Windows\System32\CodeIntegrity path.
We can view if the EDR is currently running.
After viewing this we reboot the Endpoint so the rule will be applied.

After the reboot we can see that the EDR services are all in a stopped state. Now we can use Mimikatz or other Tools. This attacks can be used with PSExec, SMBExec for example to copy .p7b file on a remote endpoint and then reboot it. We can do this through GPO too.

For monitoring this attack we can use rules in EDRs tools, for example when a user copy a .p7b file in CodeIntegrity folder and raise an alert.

Alex Necula
Cyber Security Specialist at ACS Data Systems SPA

Lista degli articoli