Windows defender bypass | 免杀

  • A+
所属分类:安全文章

官方文档

在制作免杀的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions on Windows Server(在 Windows server 中配置defender排除项)。

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide#list-of-automatic-exclusions

Windows defender bypass | 免杀

简而言之就是在 Windows Server2016 和 2019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。这就给 Bypass Windows Defender 提供了一个新思路。

通篇寻找可用的路径,最终发现几个 exe 路径:

路径 用途
%systemroot%System32dfsr.exe 文件复制服务
%systemroot%System32dfsrs.exe 文件复制服务
%systemroot%System32Vmms.exe Hyper-V 虚拟机管理
%systemroot%System32Vmwp.exe Hyper-V 虚拟机管理
%systemroot%System32ntfrs.exe AD DS 相关支持
%systemroot%System32lsass.exe AD DS 相关支持
%systemroot%System32dns.exe DNS 服务
%SystemRoot%system32inetsrvw3wp.exe WEB服务
%SystemRoot%SysWOW64inetsrvw3wp.exe WEB服务
%SystemDrive%PHP5433php-cgi.exe php-cgi 服务

在文件路径不冲突的情况下,将这10个路径的木马应当都具有 bypass Windows Defender 的效果。

实例

以最后一个 php-cgi.exe 为例,默认在 Windows Server 2019 中是没有此路径的,所以在实际使用过程中需新建此目录。

首先使用 msf 生成一个默认的 exe 木马,并下载到目标服务器中执行,发现 Windows Defender 发出警告:

Windows defender bypass | 免杀

获得的 session 也是昙花一现:

Windows defender bypass | 免杀

新建 php5433 目录,并将木马更名为 php-cgi.exe,执行:

Windows defender bypass | 免杀

木马正常上线:

Windows defender bypass | 免杀



Windows defender bypass | 免杀


有态度,不苟同


Windows defender bypass | 免杀


本文始发于微信公众号(漫流砂):Windows defender bypass | 免杀

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: