微软签名驱动KSLDriver被滥用 零检测禁用EDR工具曝光

安全研究人员公开了针对”DefenderKiller”工具的详细分析。该工具利用Microsoft Defender自带并签名的内核驱动程序KSLDriver.sys,可直接终止任何EDR解决方案。与传统BYOVD攻击需外部携带脆弱驱动不同,DefenderKiller滥用目标环境中已存在的Microsoft签名驱动,绕过驱动签名强制和阻止列表机制。公开时VirusTotal检测率为70款产品中0个告警,攻击门槛显著降低,企业需警惕此类利用内置驱动的无文件攻击方式。

🔗 原文链接:https://x.com/MalwareBibleJP/status/2075204327413784777

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
相关推荐
  • 暂无相关文章