WDAG ( Windows Defender Application Guard ) 소개

권한 분리를 통한 샌드박스

기존의 마이크로소프트 엣지, 구글 크롬, 파이어폭스는 Windows Integrity Mechanism 에 기반을 두고 공격벡터로 악용 될 수 있는 렌더러 프로세스의 권한을 낮은 권한으로 분리해 샌드박스 하고 있습니다.

샌드박스 구조


구글 크롬 샌드박스 구조

image
파이어폭스 샌드박스 구조


WDAG

WDAG ( Windows Defender Application Guard ) 는 마이크로소프트에서 최근에 업데이트 한 새로운 기능으로 Windows 10 Pro, Enterprise 버전에서 사용가능 합니다.

WDAG는 Hyper-V 컨테이너를 이용한 가상화 기반 브라우저 샌드박싱 툴 입니다. 즉, 우리가 흔히 사용하는 VirtualBox, VMware, Hyper-V, Docker, Qemu 안에서 브라우저를 돌리는 것과 비슷하다고 생각하시면 됩니다.

WDAG 구조


WDAG 구조


WDAG 사용 방법

경고. WDAG를 활성화 하면 VMware, VirtualBox 등 다른 가상화 기반 소프트웨어가 제대로 동작하지 않을 수 있습니다.

1. 파워쉘을 관리자 권한으로 열어 다음 명령어를 실행

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

2. Windows Defender Application Guard Companion 설치

3. 재부팅 후 검색 박스에 Windows Defender Application Guard Companion 을 검색 한 후 클릭하여 실행

WDAG와 호스트 간 데이터 교환 ( 클립보드, 파일 공유 설정 등 ) 은 설정 > 업데이트 및 보안 > Windows 보안 > 앱 및 브라우저 컨트롤 > 응용 프로그램 보호 설정 변경 에서 할 수 있습니다.


MISC

Q. WDAG는 무엇을 위해 만들어졌나요?
A. 공격자는 이제 브라우저 샌드박스를 우회하고 WDAG도 우회해야 합니다. 복잡도를 증가시켜 공격을 어렵게 만드는 것에 중점을 두고자 하는 거 같습니다.

Q. Sandbox Escape 와 같은 치명적인 취약점이 실제로 많이 악용되고 있나요?
A. 네, 구글의 TAG ( Threat Analysis Group ) 가 정리한 0-Day-In-the-Wild 를 참고해주시기 바랍니다.

Q. 작성자님은 WDAG를 사용하고 계신가요?
A. 느려서 안 씁니다.


참고

2 Likes

핵심

3 Likes

이런기술들은 성능하락이 어느정도 있을수밖에 없는거같아서 참 아쉽습니다