Windows 11：通過沙箱規(guī)避繞過 Defender

貌似可以繞過Windows Defender，允許惡意軟件躲避沙箱訪問操作系統(tǒng)。一條信息引起了我的注意，安全研究人員在其中概述了 Windows 11 的確切場景。這是我目前所看到的。

安全研究人員選擇了 Windows 11 來測試 Windows Defender 的安全性。目的是通過沙箱中的惡意功能突破被檢查的程序，該功能應(yīng)該精確地隔離該惡意代碼。下一步是將惡意代碼中包含的先前加密的shell代碼寫入內(nèi)存。如果成功，則必須在暫停狀態(tài)下創(chuàng)建一個進(jìn)程，并且必須將內(nèi)存中已經(jīng)存在的 shell 代碼復(fù)制到分配的內(nèi)存區(qū)域。

一旦掌握了這些步驟，就可以遠(yuǎn)程觸發(fā)相關(guān)流程并執(zhí)行 shell 代碼。在上面的推文中，屏幕截圖顯示這些確切的步驟有效，并且 shellcode 能夠從 Windows 檢索數(shù)據(jù)并將其顯示在輸入窗口中。

安全研究人員沒有提供有關(guān)他如何管理這些步驟的詳細(xì)信息，但確實刪除了“它適用于 Meterpeter”的評論。Meterpreter 是 Metasploit 攻擊的有效載荷，根據(jù)此頁面，并提供交互式 shell。通過這個shell，攻擊者可以探索目標(biāo)計算機(jī)并執(zhí)行代碼。Meterpreter 使用內(nèi)存 DLL 注入部署，惡意代碼完全駐留在內(nèi)存中。沒有任何內(nèi)容寫入硬盤驅(qū)動器，即它是無文件惡意軟件。在原始版本中也沒有創(chuàng)建新進(jìn)程，因為 Meterpreter 將自己注入到受感染的進(jìn)程中。從那里，它可以遷移到其他正在運(yùn)行的進(jìn)程。這種攻擊的法醫(yī)足跡非常有限。

您仍然可以了解到 Meterpreter 代表動態(tài)可擴(kuò)展的有效負(fù)載，它使用內(nèi)存中的 DLL 注入階段并在運(yùn)行時通過網(wǎng)絡(luò)進(jìn)行擴(kuò)展。Meterpreter 通過 stager 套接字進(jìn)行通信并提供全面的客戶端 Ruby API。它提供命令歷史記錄、選項卡完成、通道等。

Meterpeter 最初是由 skape 為Metasploit2.x編寫的，通用擴(kuò)展已為 3.x 合并，目前正在為 Metasploit 3.3 進(jìn)行重構(gòu)。服務(wù)器部分是用純 C 語言實現(xiàn)的，現(xiàn)在用 MSVC 編譯，使其具有合理的可移植性?？蛻舳丝梢杂萌魏握Z言編寫，但 Metasploit 有一個功能齊全的 Ruby 客戶端 API。

Metasploit是一個提供漏洞信息的計算機(jī)安全項目，可用于滲透測試和 IDS 簽名開發(fā)。最著名的子項目是免費的 Metasploit 框架，這是一個針對分布式目標(biāo)開發(fā)和執(zhí)行漏洞利用的工具。其他重要的子項目包括 shellcode 存檔和 IT 安全研究。

顯然，該項目中包含的框架和工具足以支持上述方法，即突破 Windows Defender 沙箱，然后環(huán)顧操作系統(tǒng)。然而，安全研究員@an0n_r0 此后挺身而出并寫道，他的動機(jī)是在不使用框架的情況下啟用最小的繞過。使用的加載器很小，是用 C 編寫的。為了混淆，加載器中的 shell 代碼實現(xiàn)了一個簡單的 rc4 編碼。實際繞過依賴于基本的用戶名檢查。為防止被 Defender 檢測，如果當(dāng)前用戶名不是目標(biāo)，則不會對 shell 代碼進(jìn)行有效的 rc4 解密。

目前，還沒有已發(fā)布的概念代碼證明——但推文顯示，即使是這個安全的 Windows 11 也可能使用最簡單的方法通過 Defender 進(jìn)行攻擊。另一位安全研究人員宣布他正在研究類似的東西，并計劃在 2021 年 10 月底發(fā)布詳細(xì)信息。