Новая атака обходит EDR, используя Windows Defender: как её предотвратить?

Обнаружена новая вредоносная атака, которая использует уязвимость Windows Defender для обхода систем обнаружения угроз и реагирования на них (EDR). Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности Вадим Матвиенко подчёркивает необходимость комплексного подхода к кибербезопасности даже на хорошо защищённых рабочих местах. По словам эксперта, реагирование на угрозы в реальном времени обеспечит Security Operations Center (SOC) «Газинформсервиса».

Недавно исследователи обнаружили новую наступательную тактику с использованием Microsoft Windows Defender Application Control (WDAC). Атака злоумышленников направлена на отключение EDR-систем, что делает их неэффективными против последующих вредоносных действий. Распространённость Windows-систем в России делает эту уязвимость особенно опасной.

«Несмотря на активную замену ОС на отечественные решения в рамках импортозамещения, на российском рынке по-прежнему широко распространены автоматизированные рабочие места под управлением операционной системы Windows. Это делает актуальными угрозы, связанные с встроенными функциями Windows, такими как WDAC. Поскольку атака направлена на отключение EDR, для обеспечения защиты, мониторинга и выявления таких угроз необходим комплексный подход. Такой подход применяется в современных центрах мониторинга безопасности (SOC), например, в SOC компании "Газинформсервис"», — отметил киберэксперт Вадим Матвиенко.