Windows Defenderの武器利用：新たなEDRバイパス手法を研究者が解説

佐々山 Tacos

2025.10.30

Windows Defenderの武器利用：新たなEDRバイパス手法を研究者が解説

Securityonline[.]info – December 24, 2024

Windows Defenderのアプリケーション制御機能であるWDAC（Windows Defender アプリケーションコントロール）を使った新たな攻撃戦術について、研究者のJonathan Beierle氏とLogan Goins氏が解説。WDACは本来Windowsエンドポイントを保護するための優れたツールだが、テレメトリソースをブロックしたりEDRシステムを無効化したりするための攻撃ツールとしても悪用が可能だという。

WDACは、大まかに言うと設定されたポリシーを基にシステム上で実行可能なコードを制御し、承認されていないアプリケーションが実行されるのを防ぐ機能。これによりシステムを有害なアプリケーションなどから保護するというものだが、Beierle氏とGoins氏が発見した新たな攻撃手法は、このポリシーを悪意ある内容にするというもの。例えばEDRソフトウェアの起動を妨げるようなポリシーを適用することができれば、WDACによってEDRが無効化されることになる。

もう少し具体的に言うと、今回明かされた手法は大きく以下の3フェーズで構成されているという。

ポリシーのデプロイ：細工されたWDAC用ポリシーをディレクトリ「C:\Windows\System32\CodeIntegrity」に配備。
システムのリブート：リブートによりこの悪意あるポリシーが発動し、EDRドライバ/アプリケーションの起動がブロックされる。
環境のエクスプロイト：EDRが無効化されたことで、攻撃者は自由に追加のツールを実行したり、ネットワーク内でラテラルムーブメントを行ったりすることができる。

今回の調査において、上記のプロセスはGoins氏によって開発されたツール「Krueger」を使って行われた。Kruegerは.NETベースのポストエクスプロイト用PoCで、EDRをリモートで無効化するためのものだという。同ツールは、有害なWDACポリシーを作成する性能、CodeIntegrityディレクトリへ当該ポリシーを直接デプロイする性能、またシステムのリブートを開始させる性能を持つ。

なお、もしも攻撃者がActive Directoryドメインへの管理者アクセス権限を有している場合は、有害なポリシーをGPO（Group Policy Object）で配布することが可能になるため、管理下にあるすべてのエンドポイントでセキュリティ防御策が無効になるなどの、より深刻な影響が想定されるという。

この攻撃は比較的短時間で実行され得るなどの理由から、検出は困難だとされる。両研究者は、堅牢なWDACポリシーをGPO経由で適用すること、また最小権限の原則に従ってCodeIntegrityフォルダやSMBシェア、およびグループポリシー変更に関する権限を制限することの2点を、リスク緩和策として紹介している。