Krueger: herramienta en .NET para parar el EDR remotamente con WDAC

Krueger es una herramienta de post-explotación en .NET para eliminar de forma remota el EDR (Endpoint Detection and Response). Lo logra utilizando Windows Defender Application Control (WDAC), que es una utilidad de control de aplicaciones integrada creada por Microsoft que tiene la capacidad de bloquear código en los niveles de usuario y modo kernel. Al utilizar Krueger con permisos administrativos sobre un dispositivo remoto de destino, un adversario puede crear rápidamente una política WDAC en el disco y realizar un reinicio remoto, lo que evita que el servicio EDR se inicie en el arranque.Krueger también se puede ejecutar desde la memoria utilizando herramientas como execute-assembly e inlineExecute-Assembly (@anthemtotheego). Además, para evitar la necesidad de cargar una política WDAC desde el disco mientras se ejecuta Krueger desde la memoria, Krueger incluye una política WDAC incorporada dentro del assembly .NET en el momento de la compilación que se puede leer desde la memoria y escribir en un destino en el momento de la ejecución.Puedes encontrar más información sobre esta técnica en el blog: https://beierle.win/2024-12-19-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/Proyecto: https://github.com/logangoins/Krueger

Jan 14, 2025 - 13:45
Krueger: herramienta en .NET para parar el EDR remotamente con WDAC

Krueger es una herramienta de post-explotación en .NET para eliminar de forma remota el EDR (Endpoint Detection and Response). Lo logra utilizando Windows Defender Application Control (WDAC), que es una utilidad de control de aplicaciones integrada creada por Microsoft que tiene la capacidad de bloquear código en los niveles de usuario y modo kernel. 

Al utilizar Krueger con permisos administrativos sobre un dispositivo remoto de destino, un adversario puede crear rápidamente una política WDAC en el disco y realizar un reinicio remoto, lo que evita que el servicio EDR se inicie en el arranque.

Krueger también se puede ejecutar desde la memoria utilizando herramientas como execute-assembly e inlineExecute-Assembly (@anthemtotheego). Además, para evitar la necesidad de cargar una política WDAC desde el disco mientras se ejecuta Krueger desde la memoria, Krueger incluye una política WDAC incorporada dentro del assembly .NET en el momento de la compilación que se puede leer desde la memoria y escribir en un destino en el momento de la ejecución.

Puedes encontrar más información sobre esta técnica en el blog: https://beierle.win/2024-12-19-Weaponizing-WDAC-Killing-the-Dreams-of-EDR/

Proyectohttps://github.com/logangoins/Krueger