查看: 9115|回复: 27
收起左侧

[技术探讨] Microsoft Defender真的很迷,保护可以形同虚设

[复制链接]
pluto1313
发表于 2022-7-27 13:05:59 | 显示全部楼层 |阅读模式
没有自保造成它可以被轻松绕过:
1、A程序启动后在MD排除列表添加B程序
2、释放B程序运行B程序

A程序做了一个简单操作,微软允许第三方软件自己添加排除列表。
B程序被永久免杀,主防也不监测它。

大无语
CBI
发表于 2022-7-27 13:21:43 | 显示全部楼层
微软:我们已经拉黑了A,问题解决
ANY.LNK
发表于 2022-7-27 13:28:02 | 显示全部楼层
大概是因为某些企业喜欢用组策略、注册表或者powershell之类的管理,因此迟迟不对排除项添加防篡改保护
pluto1313
 楼主| 发表于 2022-7-27 13:38:33 | 显示全部楼层
CBI 发表于 2022-7-27 13:21
微软:我们已经拉黑了A,问题解决

A因为操作简单也许不会上报到云,有没有机会被拉黑是个问题。
CBI
发表于 2022-7-27 13:43:03 | 显示全部楼层
pluto1313 发表于 2022-7-27 13:38
A因为操作简单也许不会上报到云,有没有机会被拉黑是个问题。

我的意思是如果你和微软反馈,就是这个结果
huangzihang
发表于 2022-7-27 13:59:41 | 显示全部楼层
我遇到过MD服务直接被强行停止要求重启的样本,这在卡巴哪怕是BD身上是根本不可能出现的,曾经拿360急救箱强力模式和BD进行过驱动对抗,AV组件被移除,但是ATD组件直接提示移除失败+蓝屏一次。
huangzihang
发表于 2022-7-27 14:00:28 | 显示全部楼层
ANY.LNK 发表于 2022-7-27 13:28
大概是因为某些企业喜欢用组策略、注册表或者powershell之类的管理,因此迟迟不对排除项添加防篡改保护

可MDE反而不存在这个问题,直接在后台统一部署即可,篡改更是不可能,进行调整需要在命令里提供后台密钥。
ANY.LNK
发表于 2022-7-27 14:04:31 | 显示全部楼层
huangzihang 发表于 2022-7-27 14:00
可MDE反而不存在这个问题,直接在后台统一部署即可,篡改更是不可能,进行调整需要在命令里提供后台密钥 ...

确实,MDE的篡改防护范围更广。但是,不是所有的用微软系安全软件的企业都使用这种完全体的MDE,毕竟价格是个难迈过的坎
huangzihang
发表于 2022-7-27 14:14:18 | 显示全部楼层
ANY.LNK 发表于 2022-7-27 14:04
确实,MDE的篡改防护范围更广。但是,不是所有的用微软系安全软件的企业都使用这种完全体的MDE,毕竟价格 ...

应该到不了MDE这个等级就有防篡改保护了,毕竟每一个付费产品在后台都会生成私钥,有终端后台的产品连信任区和规则都不能让员工更改。都习惯用组策略+powershell进行部署的企业应该也不会用默认版本的MD,毕竟这玩意连个EDR/XDR都没,至少也得用有终端后台的产品,招个网络安全员一台一台去操作/群发DefenderConfigure吗,我不这么认为,有这个意识的人至少也会买个EDR产品,反正计入公司当期损益。没有终端后台的企业估计大部分都是在裸奔/靠员工自己选择安软/对这个无所谓,比如学习通。
ANY.LNK
发表于 2022-7-27 14:25:53 | 显示全部楼层
huangzihang 发表于 2022-7-27 13:59
我遇到过MD服务直接被强行停止要求重启的样本,这在卡巴哪怕是BD身上是根本不可能出现的,曾经拿360急救箱 ...

早先Defender服务Ti权限就可以关掉的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 20:35 , Processed in 0.131288 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表