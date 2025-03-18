WDAC(Windows Defender 응용 프로그램 제어)는 신뢰할 수 있는 소프트웨어만 실행할 수 있게 하는 보안 솔루션입니다. 이 솔루션은 보안 경계로 분류되기 때문에, Microsoft는 적격 우회에 대한 버그 바운티 금액을 지불하여 이 연구 영역의 경쟁력과 활성 상태를 유지합니다.

WDAC 우회 버그 현상금 제출의 일반적인 결과:

우회 수정, 바운티 지급 가능

우회는 고정된 것이 아니라 WDAC 권장 차단 목록에 추가되어 "완화"됩니다. 포상금은 수여되지 않을 가능성이 높지만 일반적으로 명예로운 언급이 주어집니다.

우회는 수정되지 않았고, 바운티는 없으며, 명예 언급도 없습니다

Microsoft의 WDAC 권장 차단 목록을 보면 Jimmy Bayne(@bohops), Casey Smith(@subTee)와 같은 전설적인 사용자가 아직 수정되지 않았지만 명예로운 언급을 받은 WDAC 우회 방법을 발견한 것을 알 수 있습니다. 이 목록 외에도 LOLBAS 프로젝트에는 Microsoft의 차단 목록에서 확인되지 않은 수정되지 않은 추가 우회가 포함되어 있습니다. 한 가지 예로 Microsoft Teams 애플리케이션을 들 수 있는데, 이 애플리케이션은 LOLBAS에 문서화되어 있지만 여전히 실행 가능한 WDAC 우회로로 남아 있습니다.

레드팀 작전 중 WDAC을 만나면 다음 기술을 사용하여 성공적으로 우회하고 2단계 명령 및 제어(C2) 페이로드를 실행했습니다.

1. MSBuild.exe와 같이 잘 알려진 LOLBIN 사용

클라이언트가 권장되는 차단 목록 규칙을 구현하지 않은 경우에 작동합니다.

"100% MITRE 커버리지"를 갖춘 많은 EDR 솔루션은 이러한 잘 알려진 LOLBIN을 탐지합니다.

2. 신뢰할 수 없는 DLL을 신뢰할 수 있는 애플리케이션에 사이드 로드

WDAC가 활성화되어 있지만 DLL 서명을 시행하지 않는 경우에 유효합니다.

3. 클라이언트의 WDAC 정책에서 사용자 지정 제외 규칙 악용

Daniel Duggan(@_RastaMouse)의 CRTO2가 이 부분을 훌륭하게 다루고 있습니다.

VDI/RDP 액세스로 가정된 침해에서 시작된 경우 실행 가능

4. 신뢰할 수 있는 애플리케이션에서 C2 배포를 허용하는 새 실행 체인 찾기