Phát hiện cách bypass tính năng Windows Defender ATP, đã có PoC

tgnd

Moderator
Thành viên BQT
18/08/2021
45
73 bài viết
Phát hiện cách bypass tính năng Windows Defender ATP, đã có PoC
Mới đây, blogger có tên Abdullah AlZahrani đã tìm ra cách qua mặt tính năng phát hiện và ngăn chặn các hành vi độc hại của Windows Defender ATP để dump memory của tiến trình LSASS.

3110_WindowsDefender-giiphphonhochngliccphnmmchi-1.jpg

Trước tiên, dành cho ai chưa biết thì Windows Defender Advanced Threat Protection (Windows Defender ATP) thuộc sản phẩm an ninh mạng phát hiện và cảnh báo điểm cuối các mối đe dọa của Microsoft dành cho doanh nghiệp. Sản phẩm này thu thập và xử lý các thông tin hành vi trong hệ điều hành sau đó gửi dữ liệu lên nền tảng phân tích trên cloud, kết hợp với big-data, device learning, Microsoft hunters, security teams… để đưa ra các cảnh báo.

ATP.png


Tác giả bài viết đã phát hiện ra rằng Windows Defender ATP có vẻ đang “whitelist” thư mục “C:\Program Files”. Tức là các hành vi độc hại của tiến trình trong thư mục này hoàn toàn không bị cảnh báo. Tác giả đã kiểm thử bằng cách sử dụng Process Hacker được cài đặt trong C:\Program Files để dump tiến trình LSASS và hoàn toàn không bị phát hiện hay cảnh báo.

ATP 2.gif

Khi sử dụng phiên bản portable của Process Hacker và đặt ở thư mục Desktop thì ngay lập tức bị phát hiện:

ATP 3.png

Tuy nhiên khi đặt trong thư mục Program Files thì hoàn toàn không bị ATP cảnh báo.

ATP 2.gif

Proof of Concept (PoC)

Tác giả đã đưa ra 2 PoC cho vấn đề này bao gồm Powershell payload Dropper và một mẫu C# để dump các tiến trình.

Các bạn có thể nghiên cứu PoC tại đây.

ATP PoC.gif

Cuối cùng, đây là kết quả các test case mà tác giả đã test trên Windows 11 Pro 21H2, OS build: 10.0.22000 & Advanced Threat Protection (ATP), Block mode: Enabled.

ATP test.png

Theo nhận định của cá nhân mình thì đây có thể được coi là "tính năng" của Windows Defender ATP để tránh "cảnh báo nhầm" các phần mềm được cài đặt trên hệ thống. Nhưng mã độc hoàn toàn có thể lợi dụng để qua mặt và thực hiện các hành vi độc hại. Các bạn nghĩ sao về vấn đề này, hãy cùng bình luận phía bên dưới nhé!

Nguồn: Abdullah AlZahrani
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
apt poc windows defender
Bên trên