微软最近更新了Windows Defender的排除权限,没有管理员权限无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁经常使用这些信息在这个排除的目录中提供恶意软件的有效载荷,以绕过防御者的扫描。
然而,这可能无法阻止ZeroFox最近发现的一个名为北海巨妖的新僵尸网络。这是因为北海巨妖只是将自己作为排除项目,而不是试图找到一个排除的地方来交付有效载荷。这是一种相对简单有效的绕过WindowsDefender扫描的方法。
ZeroFox解释了这是如何工作的。
在北海巨妖的安装阶段,它试图将自己移动到% %AppData%/Microsoft。网
为了保持隐藏,北海巨妖运行以下两个命令:
powershell-Command Add-MP preference-exclusion path % APPDATA % \\ Microsoft
属性S H %APPDATA%\\Microsoft\\%
ZeroFox指出,北海巨妖主要是一个窃取资产的恶意软件,类似于最近发现的与微软Windows 11官网外观相同的欺诈网站。这家安全公司补充说,北海巨妖的能力现在包括窃取用户加密货币钱包的相关信息,这让人想起最近假冒的KMSPico Windows activator恶意软件。
最新增加的功能是能够从以下位置窃取各种加密货币钱包:
% AppData % \\现金
% AppData % \\军械库
% AppData % \\字节码
%AppData%Electrum\\wallets
% AppData % \\以太坊\\密钥库
%AppData%\\Exodus\\exodus.wallet
% AppData % \\ Guarda \\ Local Storage \\ level db
% AppData % \\原子\\本地存储\\leveldb
% AppData % \\ com . liberty . jaxx \\ indexed db \\ file _ _ 0 . indexed db . level db
你可以在官方博客中找到更多关于北海巨妖工作的细节:
https://www . zero fox . com/blog/meet-kraken-a-new-golang-botnet-in-development/