GootKit恶意软件通过设置路径排除来绕过Windows Defender

 
随着Windows Defender的成熟并紧密集成到Windows 10中，恶意软件编写者正在创建逃避其检测的技术。 GootKit银行木马就是这种情况，它使用UAC绕过和WMIC命令来排除Windows Defender Antivirus扫描的恶意软件可执行文件。
GootKit是一种银行木马，试图通过视频捕获窃取受感染用户的在线银行凭据，并在攻击者的控制下重定向到虚假的银行网站。这种感染的一个有趣的方面是它是一个打包成可执行文件的Node JS应用程序。
在分析了JamesWT最近发现的GootKit样本后，恶意软件研究人员和逆向工程师Vitali Kremez发现GootKit试图通过排除扫描中的恶意软件路径来绕过Windows Defender的检测。
在Kremez提供给BleepingComputer的代码中，我们可以看到GootKit首先通过发出以下命令来检查是否启用了Windows Defender：

如果启用，恶意软件现在将执行一个命令，该命令创建将使用C：\ Windows \ system32 \ fodhelper.exe可执行文件作为UAC绕过的一部分执行的注册表值。

基本上，上面的命令将执行以下步骤：
创建HKCU \\ Software \\ Classes \\ ms-settings \\ shell \\ open \\ command“DelegateExecute”= 0值，这是旁路所需的值。
创建HKCU \\ Software \\ Classes \\ ms-settings \\ shell \\ open \\命令值，使其指向将恶意软件可执行文件路径列入白名单的命令。它使用以下命令执行此操作：
WMIC /命名空间：\\ root \ Microsoft \ Windows \ Defender类MSFT_MpPreference调用Add ExclusionPath = \“’+ excludeDir +’\”。
执行命令C：\ Windows \ System32 \ fodhelper.exe，它将执行上面的WMIC命令而不显示UAC提示。
然后它将对环回地址执行7次ping操作以创建延迟。
最后，它从注册表中使用WMIC命令删除该值。
此时，Windows Defender将不再扫描可执行文件所在的路径。
最后，GootKit将通过执行以下WMIC命令确认已启用旁路：
WMIC / Node：localhost / Namespace：\\ root \ Microsoft \ Windows \ Defender Path MSFT_MpPreference Get * / format：list | findstr / i“DisableRealtimeMonitoring ExclusionPath ExclusionProcess MAPSReporting SubmitSamplesConsent”
此命令将返回Windows Defender首选项列表，可用于确定Windows Defender是否处于活动状态。
如下所示，ExclusionPath已设置为{“\ temp \”}，这意味着路径将从扫描中排除。 Temp文件夹只是一个插图，路径可能会随着实际感染而改变。
有了这个例外，即使Microsoft将来开始检测特定的GootKit示例，其路径也将被排除，安全软件将不会检测到它。
GootKit并不是唯一一个剽窃他们的游戏以躲避微软改进的Windows Defender防病毒产品的木马。 7月份，我们报告说TrickBot已经开始执行PowerShell命令来禁用Windows Defender的功能并逃避检测。