微軟通過改變”排除”權限使惡意軟件繞過Defender掃描變得更困難
Microsoft Defender一直受到高度讚揚,它在AV-TEST的2021年12月和2021年10月的最新排名中得分特別也好。然而,AV-Comparatives認為Defender稍遜一籌,至少與它的一些替代品如McAfee相比都是如此。
然而,有一件事在兩個評測機構當中卻有著共同的觀點:Microsoft Defender的得分在2021年下半年都變得更好。而且,隨著進入2022年,它看起來還在改進。
![圖片.png](https://i0.wp.com/static.cnbetacdn.com/article/2022/0212/ee30621642a11d5.png?w=640&ssl=1)
賬號為CISOwithHoodie的安全研究員注意到,微軟最近對Windows Defender Exclusions的權限做了一個非常重要的改變。以前,被排除的文件夾和目錄對”所有人”可見,這可以通過註冊表地址輕鬆獲得:鍵名為”HKLMSoftwareMicrosoftWindows DefenderExclusions”。然而,在這次更新後,它被修改為只有具有管理員權限的人才能查看排除的文件和文件夾,如下圖所示。
![1644583953_ms_defender_exclusions_updated_(via-_cisowithhoodie_twitter).jpg](https://i0.wp.com/static.cnbetacdn.com/thumb/article/2022/0212/fd2797e875308d5.jpg?w=640&ssl=1)
當人們試圖使用命令行查詢註冊表地址以找到排除的文件時,會彈出一個錯誤信息,說訪問被拒絕(如下圖),而在早期,它會顯示排除的文件和文件夾。
![1644583947_ms_defender_exclusions_reg_query_denied_(via-_cisowithhoodie_twitter).jpg](https://i0.wp.com/static.cnbetacdn.com/article/2022/0212/ee88db3419581ca.jpg?w=640&ssl=1)
CERT的漏洞分析師Will Dorman也證實,基於註冊表的策略變化現在也受到保護。
這樣做的主要原因是當排除項對每個人都是可見的,威脅行為者可以很容易地在這些排除的文件夾中放置一個惡意的載荷,並完全繞過Windows Defender掃描。