LockBit 勒索软件利用 Windows Defender 加载 Cobalt Strike

发现异常进程或远程控制行为时，应立即排查Windows Defender排除列表、检测Cobalt Strike内存注入、禁用实时保护进行深度扫描、审查计划任务与启动项、清除浏览器可疑扩展及缓存文件。

如果发现系统中出现异常进程调用或未经授权的远程控制行为，可能是攻击者利用可信系统组件绕过安全检测所致。近期观察到 LockBit 勒索软件通过滥用 Windows Defender 的机制来加载 Cobalt Strike，从而实现隐蔽渗透。以下是排查与应对该问题的操作步骤：

本文运行环境：Dell XPS 15，Windows 11

一、检查 Windows Defender 是否被滥用

攻击者常利用 mshta、powershell 或 wmic 等合法工具配合 Windows Defender 的排除列表功能，规避扫描。需确认 Defender 是否被配置为忽略恶意路径或进程。

1、以管理员身份打开命令提示符，执行以下命令查看当前排除项：
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath

2、检查输出结果中是否存在可疑目录，例如临时文件夹、用户下载目录或非常规可执行路径。

3、若发现异常条目，使用以下 PowerShell 命令移除：
Remove-MpPreference -ExclusionPath "可疑路径"

二、检测 Cobalt Strike 的典型行为特征

Cobalt Strike 通常通过内存注入方式运行，不写入磁盘，因此依赖行为分析识别其活动痕迹。常见表现为异常网络连接和远程线程创建。

1、在任务管理器中切换到“详细信息”选项卡，查找名称为 svchost.exe、dllhost.exe 或 msdtc.exe 的多个实例。

2、右键这些进程，选择“转到详细信息”，记录其 PID 编号。

3、打开命令提示符并运行：
netstat -ano | findstr "PID"（将 PID 替换为实际编号）

4、观察是否有连接至境外 IP 地址或非常见端口（如 50000 以上）的 TCP 连接。

三、禁用 Windows Defender 实时保护进行深度扫描

为防止恶意代码在扫描过程中继续扩散，可在临时关闭实时防护后运行第三方反病毒工具进行全面检查。

1、进入“设置” → “隐私和安全性” → “Windows 安全中心” → “病毒和威胁防护”。

2、点击“管理设置”，暂时关闭“实时保护”开关。

3、立即运行已下载的 EDR 工具或杀毒软件全盘扫描。

PatentPal专利申请写作

AI软件来为专利申请自动生成内容

13

查看详情

4、扫描完成后重新启用实时保护，并确认系统无残留威胁。

四、审查计划任务与启动项

攻击者可能通过计划任务持久化 Cobalt Strike 载荷，利用系统信任机制定期唤醒恶意会话。

1、按下 Win + R 键，输入 taskschd.msc 并回车，打开任务计划程序。

2、浏览“任务计划程序库”，查找名称含随机字符、伪装成系统更新或备份任务的条目。

3、选中可疑任务，查看“操作”选项卡中的执行命令路径。

4、若命令指向 PowerShell 脚本且参数包含 -enc 或 -command，则极有可能是加密载荷调用，应立即删除该任务。

五、清除浏览器扩展与临时文件

部分攻击链始于钓鱼邮件附件，通过浏览器下载初始载荷并释放至本地缓存目录。

1、打开 Chrome 浏览器，地址栏输入 chrome://extensions/ 并访问扩展管理页面。

2、移除所有未知或非官方来源的插件。

3、按下 Ctrl + Shift + Delete 组合键，勾选“下载内容”、“Cookie 和其他站点数据”、“缓存图像和文件”，设定时间为“过去一小时”。

4、确认清理完成后重启浏览器。

以上就是LockBit 勒索软件利用 Windows Defender 加载 Cobalt Strike的详细内容，更多请关注php中文网其它相关文章！