微軟最近對(duì)Windows Defender的排除權(quán)限進(jìn)行了更新，沒(méi)有管理員權(quán)限就無(wú)法查看排除的文件夾和文件。這是一個(gè)重要的變化，因?yàn)橥{者往往會(huì)利用這一信息在這種被排除的目錄中提供惡意軟件的載荷，以繞過(guò)防御者的掃描。

然而，這可能無(wú)法阻止ZeroFox最近發(fā)現(xiàn)的一個(gè)名為Kraken的新僵尸網(wǎng)絡(luò)。這是因?yàn)镵raken只是簡(jiǎn)單地將自己添加為一個(gè)排除項(xiàng)，而不是試圖尋找排除的地方來(lái)傳遞有效載荷。這是一種繞過(guò)Windows?Defender掃描的相對(duì)簡(jiǎn)單和有效的方法。

ZeroFox已經(jīng)解釋了這是如何工作的。

在Kraken的安裝階段，它試圖將自己移到%AppData%/Microsoft.Net中。

為了保持隱藏，Kraken運(yùn)行以下兩個(gè)命令：

powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft

attrib +S +H %APPDATA%\Microsoft\%

ZeroFox指出，Kraken主要是一個(gè)偷竊資產(chǎn)的惡意軟件，類似于最近發(fā)現(xiàn)的微軟Windows 11官網(wǎng)外觀相同的欺詐網(wǎng)站。這家安全公司補(bǔ)充說(shuō)，Kraken的能力現(xiàn)在包括竊取與用戶的加密貨幣錢包有關(guān)的信息，讓人聯(lián)想到最近的假KMSPico Windows激活器惡意軟件。

最近增加的功能是能夠從以下位置竊取各種加密貨幣錢包：

%AppData%\Zcash

%AppData%\Armory

%AppData%\bytecoin

%AppData%Electrum\wallets

%AppData%\Ethereum\keystore

%AppData%\Exodus\exodus.wallet

%AppData%\Guarda\Local Storage\leveldb

%AppData%\atomic\Local Storage\leveldb

%AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb

你可以在官方博客文章中找到更多關(guān)于Kraken工作方式的細(xì)節(jié)：

https://www.zerofox.com/blog/meet-kraken-a-new-golang-botnet-in-development/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/