Microsoft Defender真的很迷，保护可以形同虚设

显示全部楼层 · 发表于 2022-7-27 13:05:59

没有自保造成它可以被轻松绕过：
1、A程序启动后在MD排除列表添加B程序
2、释放B程序运行B程序

A程序做了一个简单操作，微软允许第三方软件自己添加排除列表。
B程序被永久免杀，主防也不监测它。

大无语

显示全部楼层 · 发表于 2022-7-27 13:21:43

微软：我们已经拉黑了A，问题解决

显示全部楼层 · 发表于 2022-7-27 13:28:02

大概是因为某些企业喜欢用组策略、注册表或者powershell之类的管理，因此迟迟不对排除项添加防篡改保护

显示全部楼层 · 发表于 2022-7-27 13:38:33

CBI 发表于 2022-7-27 13:21
微软：我们已经拉黑了A，问题解决

A因为操作简单也许不会上报到云，有没有机会被拉黑是个问题。

显示全部楼层 · 发表于 2022-7-27 13:43:03

pluto1313 发表于 2022-7-27 13:38
A因为操作简单也许不会上报到云，有没有机会被拉黑是个问题。

我的意思是如果你和微软反馈，就是这个结果

显示全部楼层 · 发表于 2022-7-27 13:59:41

我遇到过MD服务直接被强行停止要求重启的样本，这在卡巴哪怕是BD身上是根本不可能出现的，曾经拿360急救箱强力模式和BD进行过驱动对抗，AV组件被移除，但是ATD组件直接提示移除失败+蓝屏一次。

显示全部楼层 · 发表于 2022-7-27 14:00:28

ANY.LNK 发表于 2022-7-27 13:28
大概是因为某些企业喜欢用组策略、注册表或者powershell之类的管理，因此迟迟不对排除项添加防篡改保护

可MDE反而不存在这个问题，直接在后台统一部署即可，篡改更是不可能，进行调整需要在命令里提供后台密钥。

显示全部楼层 · 发表于 2022-7-27 14:04:31

huangzihang 发表于 2022-7-27 14:00
可MDE反而不存在这个问题，直接在后台统一部署即可，篡改更是不可能，进行调整需要在命令里提供后台密钥 ...

确实，MDE的篡改防护范围更广。但是，不是所有的用微软系安全软件的企业都使用这种完全体的MDE，毕竟价格是个难迈过的坎

显示全部楼层 · 发表于 2022-7-27 14:14:18

ANY.LNK 发表于 2022-7-27 14:04
确实，MDE的篡改防护范围更广。但是，不是所有的用微软系安全软件的企业都使用这种完全体的MDE，毕竟价格 ...

应该到不了MDE这个等级就有防篡改保护了，毕竟每一个付费产品在后台都会生成私钥，有终端后台的产品连信任区和规则都不能让员工更改。都习惯用组策略+powershell进行部署的企业应该也不会用默认版本的MD，毕竟这玩意连个EDR/XDR都没，至少也得用有终端后台的产品，招个网络安全员一台一台去操作/群发DefenderConfigure吗，我不这么认为，有这个意识的人至少也会买个EDR产品，反正计入公司当期损益。没有终端后台的企业估计大部分都是在裸奔/靠员工自己选择安软/对这个无所谓，比如学习通。

显示全部楼层 · 发表于 2022-7-27 14:25:53

huangzihang 发表于 2022-7-27 13:59
我遇到过MD服务直接被强行停止要求重启的样本，这在卡巴哪怕是BD身上是根本不可能出现的，曾经拿360急救箱 ...

早先Defender服务Ti权限就可以关掉的

[技术探讨] Microsoft Defender真的很迷，保护可以形同虚设