Windows 11：通过沙箱规避绕过 Defender

Windows 11：通过沙箱规避绕过 Defender

貌似能够绕过Windows Defender，允许恶意软件躲避沙箱拜候操作系统。一条信息引起了我的注意，安全研究人员在其中概述了 Windows 11 的确切场景。这是我目前所看到的。

安全研究人员选择了 Windows 11 来测试 Windows Defender 的安全性。目的是通过沙箱中的恶意功能突破被检查的程序，该功能应该精确地隔离该恶意代码。下一步是将恶意代码中包含的先前加密的shell代码写入内存。假如成功，则必需在暂停状态下创建一个进程，同时必需将内存中差不多存在的 shell 代码复制到分配的内存区域。

一旦掌握了这些步骤，就能够远程触发相关流程并执行 shell 代码。在上面的推文中，屏幕截图显示这些确切的步骤有效，同时 shellcode 能够从 Windows 检索数据并将其显示在输入窗口中。

Meterpeter 方法

安全研究人员没有提供有关他如何治理这些步骤的详细信息，但确实删除了“它适用于 Meterpeter”的评论。Meterpreter 是 Metasploit 攻击的有效载荷，依照此页面，并提供交互式 shell。通过那个shell，攻击者能够探究目标计算机并执行代码。Meterpreter 使用内存 DLL 注入摆设，恶意代码完全驻留在内存中。没有任何内容写入硬盘驱动器，即它是无文件恶意软件。在原始版本中也没有创建新进程，因为 Meterpreter 将本身注入到受感染的进程中。从那儿，它能够迁移到其他正在运行的进程。这种攻击的法医足迹特别有限。

您仍然能够了解到 Meterpreter 代表动态可扩展的有效负载，它使用内存中的 DLL 注入时期并在运行时通过网络进行扩展。Meterpreter 通过 stager 套接字进行通信并提供全面的客户端 Ruby API。它提供命令历史记录、选项卡完成、通道等。

Meterpeter 最初是由 skape 为Metasploit2.x编写的，通用扩展已为 3.x 合并，目前正在为 Metasploit 3.3 进行重构。办事器部分是用纯 C 语言实现的，现在用 MSVC 编译，使其具有合理的可移植性。客户端能够用任何语言编写，但 Metasploit 有一个功能齐全的 Ruby 客户端 API。

Metasploit是一个提供漏洞信息的计算机安全项目，可用于渗透测试和 IDS 签名开发。最著名的子项目是免费的 Metasploit 框架，这是一个针对分布式目标开发和执行漏洞利用的工具。其他重要的子项目包罗 shellcode 存档和 IT 安全研究。

小型 C 代码加载器

显然，该项目中包含的框架和工具足以支持上述方法，即突破 Windows Defender 沙箱，然后环顾操作系统。然而，安全研究员@an0n_r0 此后挺身而出并写道，他的动机是在不使用框架的情况下启用最小的绕过。使用的加载器非常小，是用 C 编写的。为了混淆，加载器中的 shell 代码实现了一个简单的 rc4 编码。实际绕过依赖于差不多的用户名检查。为防止被 Defender 检测，假如当前用户名不是目标，则可不能对 shell 代码进行有效的 rc4 解密。

目前，还没有已公布的概念代码证明——但推文显示，即使是那个安全的 Windows 11 也可能使用最简单的方法通过 Defender 进行攻击。另一位安全研究人员颁布发表他正在研究类似的东西，并打算在 2021 年 10 月底公布详细信息。

　　以上就是“Windows 11：通过沙箱规避绕过 Defender”的全部内容，如果有需要，棒主妇系统站(www.bzfshop.NET)为您提供更多系统教程资源，请持续关注本站。