Alex Necula : 13 January 2025 17:01
In the past days we saw that Ransomware Gangs use WDAC to disable EDR products.
I have known this type of attack for a year when a guy posts a similar technique on Twitter, but this is the first time that was used in Ransomware Attacks.
So, it’s time to explain how it works and how to check it.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
First, the WDAC is a feature of Microsoft that is very similar to App Locker. We need to download Application Control Wizard from Microsoft webpage.
After we install it, we can open it and define the policy.
Here we can do two things, block all External Third parts application and Add a Custom Path that we can launch everything or in our case we can block only a defined publisher. So, remove all default rules and click on Add Custom, select User mode Rule and Rule Action Deny. Click on Publisher on Rule Type and choose the reference file from the disk that has the desired publisher that we want to block. In our case is the PE from an EDR product.
After that the Wizard produced two files, a .p7b and an .xml file.
After the reboot we can see that the EDR services are all in a stopped state. Now we can use Mimikatz or other Tools. This attacks can be used with PSExec, SMBExec for example to copy .p7b file on a remote endpoint and then reboot it. We can do this through GPO too.
For monitoring this attack we can use rules in EDRs tools, for example when a user copy a .p7b file in CodeIntegrity folder and raise an alert.