一种名为 CyberEYE 的新型高级远程访问木马(RAT)已成为 Windows 系统的重大威胁,该木马通过结合使用 PowerShell 命令和注册表操作,能够完全禁用 Windows Defender。
基于 Telegram 的模块化恶意软件
这款基于 .NET 的模块化恶意软件利用 Telegram 消息平台作为其命令与控制(C2)基础设施,这使得传统安全解决方案难以检测和缓解威胁。该恶意软件通过用户友好的构建器界面运行,即使技术能力有限的网络犯罪分子也能轻松定制攻击载荷。
多渠道传播与全面功能
CyberEYE 通过公共 GitHub 代码库和私人 Telegram 频道等多渠道传播,幕后威胁分子使用 @cisamul23 和 @CodQu 等化名活动。该恶意软件的易用性和即插即用特性使其在寻求监控和数据窃取能力的网络犯罪群体中迅速流行。
Cyfirma 分析师指出,CyberEYE 因其全面的功能集而构成特别危险的威胁,包括键盘记录、凭证窃取、文件外泄和剪贴板劫持等功能。研究团队特别强调,该木马利用 Telegram 进行命令控制,使攻击者无需维护自己的基础设施,既提高了隐蔽性,又降低了使用门槛。
高级 Windows Defender 规避技术
CyberEYE 采用复杂的双重策略来禁用 Windows Defender,结合直接注册表修改和基于 PowerShell 的命令执行,确保完全绕过防护系统。
该恶意软件的DisableDefenderFeatures()方法系统性地攻击控制 Windows Defender 核心功能的关键注册表项。具体操作包括:
通过修改SOFTWARE\Microsoft\Windows Defender\Features下的TamperProtection值为 "0" 来禁用篡改保护
在SOFTWARE\Policies\Microsoft\Windows Defender下将DisableAntiSpyware设为 "1" 完全禁用反间谍功能
修改SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection下的三项设置,将DisableBehaviorMonitoring、DisableOnAccessProtection和DisableScanOnRealtimeEnable全部设为 "1" 以禁用实时保护
PowerShell 辅助攻击机制
PowerShell 组件通过CheckDefenderSettings()函数运行,首先使用Get-MpPreference -verbose命令查询当前 Defender 设置,然后解析输出结果,通过针对性的Set-MpPreference命令禁用剩余防护功能。例如:
检测到实时监控处于活动状态时,执行Set-MpPreference -DisableRealtimeMonitoring $true
通过Set-MpPreference -DisableBehaviorMonitoring $true禁用行为监控
该恶意软件还针对高级防护功能发起攻击,包括禁用基于云的扫描(DisableBlockAtFirstSeen)、文件和程序活动监控(DisableIOAVProtection)以及隐私模式限制(DisablePrivacyMode),从而创造完全的安全真空环境。这种系统性地瓦解 Windows Defender 的技术代表了恶意软件规避手段的重大演进,展示了现代威胁如何通过合法的管理工具和系统修改有效规避终端防护。