CyberEYE木马利用PowerShell和注册表操作禁用Windows Defender

00006666

freebuf上面看到的

https://www.freebuf.com/articles/endpoint/434724.html

CyberEYE 采用复杂的双重策略来禁用 Windows Defender，结合直接注册表修改和基于 PowerShell 的命令执行，确保完全绕过防护系统。

该恶意软件的DisableDefenderFeatures()方法系统性地攻击控制 Windows Defender 核心功能的关键注册表项。具体操作包括：

通过修改SOFTWARE\Microsoft\Windows Defender\Features下的TamperProtection值为 "0" 来禁用篡改保护
在SOFTWARE\Policies\Microsoft\Windows Defender下将DisableAntiSpyware设为 "1" 完全禁用反间谍功能
修改SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection下的三项设置，将DisableBehaviorMonitoring、DisableOnAccessProtection和DisableScanOnRealtimeEnable全部设为 "1" 以禁用实时保护

PowerShell 组件通过CheckDefenderSettings()函数运行，首先使用Get-MpPreference -verbose命令查询当前 Defender 设置，然后解析输出结果，通过针对性的Set-MpPreference命令禁用剩余防护功能。例如：

检测到实时监控处于活动状态时，执行Set-MpPreference -DisableRealtimeMonitoring $true
通过Set-MpPreference -DisableBehaviorMonitoring $true禁用行为监控

该恶意软件还针对高级防护功能发起攻击，包括禁用基于云的扫描（DisableBlockAtFirstSeen）、文件和程序活动监控（DisableIOAVProtection）以及隐私模式限制（DisablePrivacyMode），从而创造完全的安全真空环境。这种系统性地瓦解 Windows Defender 的技术代表了恶意软件规避手段的重大演进，展示了现代威胁如何通过合法的管理工具和系统修改有效规避终端防护。

驭龙

这种方法已经用烂了，目前更好的方法是PS添加排除，效果更好，除了MDE外，家用MD根本防不住加白操作

00006666

驭龙 发表于 2025-7-10 16:31
这种方法已经用烂了，目前更好的方法是PS添加排除，效果更好，除了MDE外，家用MD根本防不住加白操作

银狐普及了这种方法，去年的银狐就这样加白了。

驭龙

00006666 发表于 2025-7-12 14:03
银狐普及了这种方法，去年的银狐就这样加白了。

所以我很久很久以前就说过，MD注定被针对，不适合使用了，毕竟默认设置的MD是弱机

我爱酱油瓶

MDE可以参考这个链接设置一下
https://learn.microsoft.com/en-u ... settings-management
排除项就会显示这样了

GDHJDSYDH

利用Powershell命令修改注册表添加WD排除已经是木马用烂的招数了吧...不过对于HIPS和EDR来说这个招数很容易让木马露出马脚，比如说银狐试图添加WD排除被冰盾发现，可以直接默认结束进程破坏攻击链

LSPD

我爱酱油瓶 发表于 2025-7-12 20:25
MDE可以参考这个链接设置一下
https://learn.microsoft.com/en-us/defender-endpoint/mde-security-settin ...

个人用户哭死

小玮

个人版MD感觉还是太弱了
话说，它可以

通过修改SOFTWARE\Microsoft\Windows Defender\Features下的TamperProtection值为 "0" 来禁用篡改保护

，那这个防篡改保护到底在保护什么东西啊

LSPD

小玮 发表于 2025-7-13 10:54
个人版MD感觉还是太弱了
话说，它可以，那这个防篡改保护到底在保护什么东西啊

防篡改组策略

小玮

LSPD 发表于 2025-7-13 10:57
防篡改组策略

明白了，感谢解答
感觉这保护保护的也太抽象了