-
18/08/2021
-
45
-
73 bài viết
Phát hiện cách bypass tính năng Windows Defender ATP, đã có PoC
Mới đây, blogger có tên Abdullah AlZahrani đã tìm ra cách qua mặt tính năng phát hiện và ngăn chặn các hành vi độc hại của Windows Defender ATP để dump memory của tiến trình LSASS.
Trước tiên, dành cho ai chưa biết thì Windows Defender Advanced Threat Protection (Windows Defender ATP) thuộc sản phẩm an ninh mạng phát hiện và cảnh báo điểm cuối các mối đe dọa của Microsoft dành cho doanh nghiệp. Sản phẩm này thu thập và xử lý các thông tin hành vi trong hệ điều hành sau đó gửi dữ liệu lên nền tảng phân tích trên cloud, kết hợp với big-data, device learning, Microsoft hunters, security teams… để đưa ra các cảnh báo.
Tác giả bài viết đã phát hiện ra rằng Windows Defender ATP có vẻ đang “whitelist” thư mục “C:\Program Files”. Tức là các hành vi độc hại của tiến trình trong thư mục này hoàn toàn không bị cảnh báo. Tác giả đã kiểm thử bằng cách sử dụng Process Hacker được cài đặt trong C:\Program Files để dump tiến trình LSASS và hoàn toàn không bị phát hiện hay cảnh báo.
Khi sử dụng phiên bản portable của Process Hacker và đặt ở thư mục Desktop thì ngay lập tức bị phát hiện:
Tuy nhiên khi đặt trong thư mục Program Files thì hoàn toàn không bị ATP cảnh báo.
Các bạn có thể nghiên cứu PoC tại đây.
Cuối cùng, đây là kết quả các test case mà tác giả đã test trên Windows 11 Pro 21H2, OS build: 10.0.22000 & Advanced Threat Protection (ATP), Block mode: Enabled.
Theo nhận định của cá nhân mình thì đây có thể được coi là "tính năng" của Windows Defender ATP để tránh "cảnh báo nhầm" các phần mềm được cài đặt trên hệ thống. Nhưng mã độc hoàn toàn có thể lợi dụng để qua mặt và thực hiện các hành vi độc hại. Các bạn nghĩ sao về vấn đề này, hãy cùng bình luận phía bên dưới nhé!
Nguồn: Abdullah AlZahrani
Trước tiên, dành cho ai chưa biết thì Windows Defender Advanced Threat Protection (Windows Defender ATP) thuộc sản phẩm an ninh mạng phát hiện và cảnh báo điểm cuối các mối đe dọa của Microsoft dành cho doanh nghiệp. Sản phẩm này thu thập và xử lý các thông tin hành vi trong hệ điều hành sau đó gửi dữ liệu lên nền tảng phân tích trên cloud, kết hợp với big-data, device learning, Microsoft hunters, security teams… để đưa ra các cảnh báo.
Tác giả bài viết đã phát hiện ra rằng Windows Defender ATP có vẻ đang “whitelist” thư mục “C:\Program Files”. Tức là các hành vi độc hại của tiến trình trong thư mục này hoàn toàn không bị cảnh báo. Tác giả đã kiểm thử bằng cách sử dụng Process Hacker được cài đặt trong C:\Program Files để dump tiến trình LSASS và hoàn toàn không bị phát hiện hay cảnh báo.
Proof of Concept (PoC)
Tác giả đã đưa ra 2 PoC cho vấn đề này bao gồm Powershell payload Dropper và một mẫu C# để dump các tiến trình.Các bạn có thể nghiên cứu PoC tại đây.
Theo nhận định của cá nhân mình thì đây có thể được coi là "tính năng" của Windows Defender ATP để tránh "cảnh báo nhầm" các phần mềm được cài đặt trên hệ thống. Nhưng mã độc hoàn toàn có thể lợi dụng để qua mặt và thực hiện các hành vi độc hại. Các bạn nghĩ sao về vấn đề này, hãy cùng bình luận phía bên dưới nhé!
Nguồn: Abdullah AlZahrani