微軟最近對Windows Defender的排除權(quán)限進(jìn)行了更新,沒有管理員權(quán)限就無法查看排除的文件夾和文件。這是一個重要的變化,因為威脅者往往會利用這一信息在這種被排除的目錄中提供惡意軟件的載荷,以繞過防御者的掃描。
然而,這可能無法阻止ZeroFox最近發(fā)現(xiàn)的一個名為Kraken的新僵尸網(wǎng)絡(luò)。這是因為Kraken只是簡單地將自己添加為一個排除項,而不是試圖尋找排除的地方來傳遞有效載荷。這是一種繞過Windows Defender掃描的相對簡單和有效的方法。
ZeroFox已經(jīng)解釋了這是如何工作的。
在Kraken的安裝階段,它試圖將自己移到%AppData%/Microsoft.Net中。
為了保持隱藏,Kraken運行以下兩個命令:
powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft
attrib +S +H %APPDATA%\Microsoft\%
ZeroFox指出,Kraken主要是一個偷竊資產(chǎn)的惡意軟件,類似于最近發(fā)現(xiàn)的微軟Windows 11官網(wǎng)外觀相同的欺詐網(wǎng)站。這家安全公司補充說,Kraken的能力現(xiàn)在包括竊取與用戶的加密貨幣錢包有關(guān)的信息,讓人聯(lián)想到最近的假KMSPico Windows激活器惡意軟件。
最近增加的功能是能夠從以下位置竊取各種加密貨幣錢包:
%AppData%\Zcash
%AppData%\Armory
%AppData%\bytecoin
%AppData%Electrum\wallets
%AppData%\Ethereum\keystore
%AppData%\Exodus\exodus.wallet
%AppData%\Guarda\Local Storage\leveldb
%AppData%\atomic\Local Storage\leveldb
%AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb
文章轉(zhuǎn)載自cnBeta.COM