在研究如何绕过 windows defender 的过程中,查阅了 windows 官方对 windows defender 的描述,发现了一个关键目录:在 windows server 中配置 defender 排除项(configure microsoft defender antivirus exclusions on windows server)。
简单来说,在 Windows Server 2016 和 2019 中,Windows Defender 默认设置了一些排除项,这些排除项在实时检测时会被忽略,但主动扫描时不会被排除。这为绕过 Windows Defender 提供了一个新的思路。
经过详细搜索,发现了几个可用的 exe 路径:
文件复制服务
%systemroot%\System32\dfsrs.exe
文件复制服务
%systemroot%\System32\Vmms.exe
Hyper-V 虚拟机管理
%systemroot%\System32\Vmwp.exe
Hyper-V 虚拟机管理
%systemroot%\System32\ntfrs.exe
AD DS 相关支持
%systemroot%\System32\lsass.exe
AD DS 相关支持
%systemroot%\System32\dns.exe
DNS 服务
%SystemRoot%\system32\inetsrv\w3wp.exe
WEB服务
%SystemRoot%\SysWOW64\inetsrv\w3wp.exe
WEB服务
%SystemDrive%\PHP5433\php-cgi.exe
php-cgi 服务
在文件路径不冲突的情况下,将木马放置在这10个路径中应当都能绕过 Windows Defender。
以最后一个 php-cgi.exe 为例,在 Windows Server 2019 中默认没有此路径,因此在实际操作中需要创建此目录。
首先使用 msf 生成一个标准的 exe 木马,并将其下载到目标服务器执行,发现 Windows Defender 发出了警告:
获得的 session 也只是短暂存在:
然后创建 php5433 目录,并将木马重命名为 php-cgi.exe 后执行:
木马成功上线:
---
