安全研究人员公开了针对”DefenderKiller”工具的详细分析。该工具利用Microsoft Defender自带并签名的内核驱动程序KSLDriver.sys,可直接终止任何EDR解决方案。与传统BYOVD攻击需外部携带脆弱驱动不同,DefenderKiller滥用目标环境中已存在的Microsoft签名驱动,绕过驱动签名强制和阻止列表机制。公开时VirusTotal检测率为70款产品中0个告警,攻击门槛显著降低,企业需警惕此类利用内置驱动的无文件攻击方式。
🔗 原文链接:https://x.com/MalwareBibleJP/status/2075204327413784777
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END







