记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

僵尸网络 Kraken 轻松骗过 Windows Defender 并窃取加密货币钱包数据

微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。 然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这是因为Kraken只是简单地将自己添加为一个排除项,而不是试图寻找排除的地方来传递有效载荷。这是一种绕过Windows Defender扫描的相对简单和有效的方法。 ZeroFox已经解释了这是如何工作的。 在Kraken的安装阶段,它试图将自己移到%AppData%/Microsoft.Net中。
发布时间:2022-02-21 15:12 | 阅读:30663 | 评论:0 | 标签:安全快讯 Kraken Windows Defender 加密 僵尸网络 windows 网络

测试结果表明 Windows Defender 是 2021 年最好的反病毒软件之一

位于德国的IT安全研究机构AV-TEST发布了针对Windows 10家庭用户的2021年10月最佳反病毒程序评估报告。在这份报告中,该组织评测了来自不同公司的21个不同的反恶意软件程序,测试中还包括微软的Windows Defender。 结果,Windows Defender在这次评估中获得了非常高的分数。事实上,它是当今最好的反病毒软件之一,获得了18分的满分。因此,它获得了”AV-TEST顶级产品”认证,总分高于17.5分的产品才能获得这一称号。
发布时间:2021-11-26 09:43 | 阅读:57494 | 评论:0 | 标签:网络安全 Windows Defender 反病毒软件 windows 病毒

利用套接字投递shellcode绕过Windows Defender

实验背景 当我们在安装了Windows Defender的计算机上运行开箱即用的meterpreter payload时,马上就会被拦截。 本文将为读者展示如何通过TCP套接字投递shellcode来绕过最新的Windows Defender(撰写本文时是5月7日)执行现成的meterpreter payload的。
发布时间:2021-01-06 18:20 | 阅读:95052 | 评论:0 | 标签:beacon C cobalt strike msf SHELLCODE TCP套接字 Windows Defender

评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(下)

评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)预警和检测策略开发随着我们对可用事件日志、它们的上下文和限制的新理解,我们的CIRT工程师现在可以在构建警报和检测策略时使用这些信息。以下是一些假设的样本,这些假设被开发用来作为潜在的警报/威胁搜索查询的基础,这些查询被漏洞利用防御缓解机制分解。非微软官方的二进制加载此 WDEG 缓解记录由微软签名的进程加载非微软签名模块的任何尝试。 这可以作为一个潜在的有价值的数据源,而不是将应用程序作为白名单的审计或实施。范围系统级别。 与某些文档相反,这种缓解措施可以应用于所有进程。
发布时间:2019-12-26 13:25 | 阅读:133234 | 评论:0 | 标签:恶意软件 系统安全 Windows Defender 漏洞

评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)

Windows Defender 漏洞利用防护(WDEG)是一套预防和侦查控制,用于识别和减少针对 Windows 主机的主动攻击尝试。 基于先前增强的缓解经验工具包(EMET)的成功经验,WDEG 不仅提供了一系列广泛的攻击缓解方案,而且还通过提供与异常事件相关的丰富的上下文事件日志充当调查资源。Palantir 的计算机应急响应小组(CIRT)在端点遥测和检测能力方面严重依赖于安全供应商产品,而调查和开发新的与安全相关的数据源是我们成功的基础。 这篇博客文章分析了将“漏洞利用防御”作为一个新的数据源,包括警报和检测策略(ADS)。 我们还将详细介绍企业配置和转出策略,并提供检测假设的抽样。
发布时间:2019-12-24 13:25 | 阅读:159836 | 评论:0 | 标签:恶意软件 系统安全 Windows Defender 漏洞

Windows Defender应用程序控制介绍

鉴于当今的威胁环境,应用程序控制是保护企业的重要防线,并且它具有超越传统防病毒解决方案的固有优势。具体而言,应用程序控制将所有应用程序默认为可信的模型翻转为应用程序必须获得信任才能运行的模型。澳大利亚信号局等许多组织都理解这一点,并经常将应用程序控制作为解决基于可执行文件的恶意软件(.exe,.dll等)威胁的最有效方法之一。虽然大多数客户固有地理解应用程序控制的价值,但事实是很少有客户能够以可管理的方式使用应用程序控制解决方案。因此,应用控制解决方案的采用率很低。
发布时间:2018-03-04 12:20 | 阅读:180610 | 评论:0 | 标签:安全工具 Windows Defender

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求投资、赞助、支持💖

标签云