WSUS RCE漏洞(CVE-2025–59287)利用代码已发布 —— 请立即修补您的服务器
CYBERDUDEBIVASH PVT LTD
5分钟阅读 · 2025年10月20日
CYBERDUDEBIVASH • THREATWIRE
“DefenderWrite”如何劫持Microsoft Defender运行恶意DLL
2025年10月20日 • 作者:CyberDudeBivash • 阅读时间:10–12分钟
🔗 访问 www.cyberdudebivash.com/ 了解更多
✅ 订阅我们的LinkedIn通讯,在收件箱中获取漏洞通报、CVE和应急手册。
目录
- 什么是“DefenderWrite”(高层概述)
- 攻击流程(概念性)
- 原理与业务影响
- 如何检测(SIEM/EDR狩猎)
- 如何缓解与加固清单
- 取证工件及收集要点
- SecOps与IT常见问题
攻击流程(概念性)
- 初始立足点:钓鱼、路过式攻击、易受攻击的驱动/工具或被盗的管理员令牌,实现有限执行。
- 放置:攻击者将DLL放入Defender进程在正常加载期间会探查的位置(例如搜索顺序滥用或伴生DLL)。
- 触发:一个合法的Defender二进制文件或服务(已签名)启动,并首先解析恶意DLL,从而将其加载到高信任进程中。
- 载荷目标:持久化(注册表/服务)、凭据访问(通过API/DPAPI),以及以Defender进程为掩护的静默C2通信。
如何检测(SIEM/EDR狩猎)
目标:发现可信进程 → 不可信模块的不匹配,以及与Defender相关的异常子进程树。
狩猎1 — Defender进程加载异常DLL
查找 MsMpEng.exe(及辅助二进制文件)加载了以下来源的模块:
- 非标准目录(用户可写、temp、programdata子文件夹)
- 未签名的DLL
SIEM关键字段:ProcessName, ImageLoaded, Signed, Company, OriginalFileName, Directory
狩猎2 — Defender生成脚本shell
当Defender进程生成 cmd.exe、powershell.exe、wscript.exe、rundll32.exe 或 mshta.exe 时触发告警。正常情况下应极为罕见。
字段:ParentImage, ChildImage, CommandLine, IntegrityLevel
狩猎3 — 模块不匹配与信誉异常
建立已知正常的Defender模块哈希值及路径基线,标记偏离项。交叉检查代码签名和 OriginalFileName 异常。
狩猎4 — Defender服务重启后的持久化
关注在 WinDefend 服务重启或操作系统重启后,会重新触发相同可疑模块的持久化痕迹。与注册表/服务新增项进行关联。
取证工件及收集要点
| 工件 | 原因 | 备注 |
|---|---|---|
| MsMpEng.exe及辅助进程的模块加载日志 | 确认侧载/代理加载模式 | 寻找未签名或异常路径 |
| 被搜索目录的ACL | 识别搜索顺序中的可写文件夹 | 加固权限 |
| 服务配置与启动事件 | 捕获通过服务劫持实现的持久化 | 关联重启与模块加载 |
#网络安全 #蓝队 #Windows安全 #MicrosoftDefender #DLL侧载 #EDR #SIEM #威胁狩猎 #零信任 #AppLocker #WDAC #ASR #应急响应 #企业安全 #SOC CSD0tFqvECLokhw9aBeRqsAhlXRiKzqRIV45mkEUWJZOekSwWHhHXlbWTIQF/4oHk6HiWgpx7Q0eN3j9wznStreEgRcwi2bWP8r6hBipOMR4sX1GcrMiuqvO5WKd7ZszIvE3crr3JqJegJpT9Cq6iv8GnSjfAiN0AR90kLbcifQ=
