Сводка
На портале Microsoft Defender Advanced Threat Protection (MDATP) происходит очень много событий блокировок. Эти события создаются механизмом целостности кода (CI), и их можно определить по их ActionType ExploitGuardNonMicrosoftSignedBlocked.
Событие, которое видно в журнале событий конечной точки
ActionType |
Поставщик или источник |
Идентификатор события |
Описание |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Блок code integrity guard |
Событие, которое видно на временной шкале
Процесс \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (PID 8780) заблокирован из-за того, что не загружался двоичный файл "\Windows\сборка\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"
Дополнительные сведения
Механизм CI позволяет выполнять на устройстве только надежные файлы. Если ci включен и происходит знакомство с неподтверщенным файлом, создается событие блока. В режиме аудита файл по-прежнему может выполняться, а в режиме принудительного выполнения — нет.
Ci можно включить несколькими способами, в том числе при развертывании политики Защитник Windows управления приложениями (WDAC). Однако в такой ситуации MDATP активирует CI на задней части, что вызывает события, когда происходит создание неподписаных файлов native image (NI), которые происходят от Майкрософт.
Подписание файла предназначено для проверки подлинности файлов. Ci может проверить, является ли файл немодифицированным и был произведен доверенным органом на основе его подписи. Большинство файлов из корпорации Майкрософт подписаны, но некоторые файлы не могут быть подписаны или не подписаны по разным причинам. Например, если они включены в выпуск, как правило, подписаны бинариусы НИИ (составленные на основе кода .NET Framework). Однако они обычно повторно создаются на устройстве и не могут быть подписаны. В отдельных приложениях для проверки подлинности во время установки подписан только их CAB- или MSI-файл. При запуске создаются дополнительные файлы без подписи.
Mitigation
Не рекомендуется игнорировать эти события, так как они могут указывать на подлинность проблем с безопасностью. Например, злоумышленник может попытаться загрузить двоичный файл без подписи под иконой, вымышлеенной корпорацией Майкрософт.
Однако эти события можно отфильтровать по запросу, если попытаться проанализировать другие события в advanced Hunting, исключив события, которые имеют ActionType ExploitGuardNonMicrosoftSignedBlocked.
В этом запросе будут отбираться все события, связанные с таким перена определением:
DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
| где timestamp > ago(7d)
Если вы хотите исключить это событие, необходимо инвертировать запрос. В этом случае будут отключались все события ExploitGuard (включая EP), кроме указанных:
DeviceEvents
| where ActionType startswith "ExploitGuard"
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" или (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" и InitiatingProcessFileName != "powershell.exe") или (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" и InitiatingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
| где timestamp > ago(7d)
Кроме того, если вы используете .NET Framework 4.5 или более поздней версии, вы можете повторно сгенерировать ni-файлы, чтобы устранить множество лишних событий. Для этого удалите все файлы NI в каталоге NativeImages, а затем запустите команду обновления ngen, чтобы повторно сгенерировать их.