HackerNews 编译，转载请注明出处： 网络犯罪分子找到了绕过用户防御的新方法 —— 将恶意软件隐藏在看似正常的游戏工具中。微软安全团队发现一项活跃攻击活动，攻击者向毫无防备的用户分发热门游戏工具的木马化版本。 这些伪造工具一旦运行，会静默部署远程访问木马（RAT），使攻击者获得对受感染主机的完全无限制控制权。 该攻击活动标志着威胁行为者的攻击方式发生明显转变，他们利用日常软件攻击范围更广、警惕性更低的受害者群体。 恶意软件通过浏览器和聊天平台传播，用户极易在不知情的情况下下载并运行受感染文件。 该活动中使用的两个主要文件名为 Xeno.exe 和 RobloxPlayerBeta.exe，选择这些名称是因为它们对游戏玩家而言看起来熟悉且完全可信。 通过针对游戏社区，攻击者赌定年轻用户或休闲用户对运行从聊天群或非正规第三方网站下载的可执行文件警惕性较低。 该手段有效降低受害者警惕性，并显著提升攻击者的整体成功率。 微软威胁情报分析师识别出该恶意软件并追踪其完整攻击链，揭示出一个经过精心策划的多阶段感染流程。 研究人员指出，最终载荷是一种多功能威胁，可同时充当加载器、执行器、下载器和 RAT。 这种组合能力使其远胜于单纯的数据窃取工具，攻击者可随时利用其安装更多恶意软件、执行远程命令并窃取敏感信息。 该攻击活动的影响十分严重，不可低估。 一旦 RAT 成功安装，攻击者通过 IP 地址为 79.110.49 [.] 15 的命令与控制（C2）服务器连接受害者主机。从此时起，受攻陷系统完全处于攻击者控制之下。 主机上的个人文件、登录凭据以及所有存储或输入的数据均可被静默窃取，用户毫无察觉。 对于员工可能使用个人设备办公的机构而言，该威胁会造成严重且深远的后果。 感染机制与持久化手段 该攻击活动的巧妙之处在于恶意软件的自安装方式及规避安全工具检测的手段。 受害者运行木马化游戏工具后，恶意下载器会在主机上静默部署便携式 Java 运行环境，随后执行名为 jd-gui.jar 的恶意 Java 归档文件。 使用便携式 Java 运行环境意味着攻击者无需受害者设备预先安装 Java，恶意软件自带所需全部组件。 为避免被检测，下载器采取多项谨慎措施。它利用 PowerShell 及系统自带工具（LOLBins）—— 特别是合法 Windows 工具 cmstp.exe—— 以融入正常系统活动的方式执行代码。 下载器完成任务后会自删除，以清除在系统中的所有痕迹。攻击者还直接在 Microsoft Defender 中为 RAT 组件添加排除项，实质上让安全工具完全忽略恶意文件。 为确保恶意软件在系统重启后依然运行，攻击者创建了计划任务和名为 world.vbs 的启动脚本。 这些持久化机制确保 RAT 在每次系统启动时运行，为攻击者在受感染系统中提供稳定持久的立足点。 机构与个人用户应采取以下措施防御该威胁： ・拦截或监控指向已知恶意域名与 IP 地址的外连流量，并对从非企业来源下载 java [.] zip 或 jd-gui.jar 设置告警。 ・利用 EDR 遥测数据在终端中检索相关进程与组件。 ・审计 Microsoft Defender 排除项与计划任务，排查可疑或随机命名条目，并删除恶意任务与启动脚本。 ・发现受影响终端后立即隔离，收集 EDR 遥测数据，并重置受攻陷主机上所有活跃用户的凭据。 入侵指标（IOC）     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西门子公司周二告知客户，其正与微软合作解决Microsoft Defender防病毒软件（MDAV）与Simatic PCS工业控制系统间的兼容性问题。根据该工业巨头发布的安全通告，核心问题在于Defender当前缺乏“仅警报”功能。 西门子在Simatic PCS 7及PCS Neo过程控制系统的技术文档中，曾建议通过配置Defender实现威胁分级警报——即在检测到特定级别威胁时不自动处置，仅触发告警。但实际运行中存在两类风险： 静默忽略风险 若将威胁响应设为“忽略”，不仅不会采取行动，系统甚至不会向工厂操作员和管理员发送任何警报，导致恶意软件潜伏未被察觉。 误删关键文件风险 若采用其他设置，Defender可能直接删除或隔离被标记为潜在威胁的文件（包括误报文件）。当系统依赖这些文件运行时，将引发生产中断。西门子在通告中强调：“受影响的设备可能完全失效，导致工厂丧失监控与控制能力。” 在微软提供解决方案前，西门子建议客户执行以下应急措施： 风险评估决策：企业需权衡选择——优先接收感染警报（可能面临误报干扰），或容忍文件误删风险（保障系统连续性）。 设备集群化管理：对受影响设备进行分组，根据各组功能重要性配置差异化的Defender策略。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

近日，微软宣布撤回最近的Microsoft Defender修复补丁。据称该补丁是为了修复了触发持续的重启警报和Windows安全警告这个问题，即本地安全授权(LSA)保护已关闭。 LSA保护通过阻止LSASS进程内存转储和将不受信任的代码注入LSASS.exe进程(否则将允许提取敏感信息)，帮助保护Windows用户免受凭证盗窃企图的侵害。 3月21日，微软正式表示确实存在此问题。此前有大量用户报告Windows 11系统警告LSA保护关闭，然而在设置用户界面中显示的却是打开状态。 Redmond表示，这个已题引发的持续重启警报只会出现在Windows 11 21H2和22H2系统上。 几周后，微软发布的Microsoft Defender更新将LSA保护功能的用户界面设置替换为称为内核模式硬件强制堆栈保护的新功能。但由于微软没有记录这个变化，导致用户在使用中出现了混淆。 微软方面表示：LSA保护并没有被移除，仍然是内置，默认情况下在Windows 11机器上。而在最新的Windows内部预览版中，有一个更新改变了该功能的用户界面(UI)外观。之前说它只在Windows 11内部版本中确实说错了，事实上是它在Windows 11 22H2中可用。 4月26日，Redmond宣布他们已经修复了LSA保护UI的相关问题。不过为了确保混淆警报不再显示在Windows设置应用程序中，所以修复是通过删除KB5007651防御者更新中的设置来完成的。 防御更新导致蓝屏和随机重启 Redmond透露，由于在游戏影响部署了Defender更新的Windows 11系统时出现蓝屏或意外系统重启，因此他们决定停止推送KB5007651 Defender更新。 微软表示：这个已知的问题之前已经通过微软Defender Antivirus反恶意软件平台KB5007651(版本1.0.2303.27001)的更新解决了。但又发现了其他问题，并且该更新不再提供给设备。 如果你已经安装了1.0.2303.27001版本并收到蓝屏错误，或者如果你的设备在试图打开一些游戏或应用程序时重启，那么你需要禁用内核模式硬件强制堆栈保护。而要禁用内核模式HSP，你必须在Windows安全应用程序中进入设备安全>核心隔离，并切换“内核模式硬件强制堆栈保护”功能。 除了禁用内核模式硬件强制堆栈保护功能外，微软没再有其他什么动作。那些已经安装了错误版本Defender更新的用户，电脑已经出现了系统重启和蓝屏的现象，他们并不知道要如何解决由这个问题。 当内核模式HSP启用时，一些冲突的游戏反作弊驱动程序导致Windows崩溃或冲突，包括PUBG, Valorant (Riot Vanguard)， Bloodhunt, Destiny 2, Genshin Impact, fantasy Star Online 2 (game Guard)和Dayz。 修复版本发布前可采取的解决方案 微软方面表示，目前他们正在尽可能修复影响Windows 11系统的持续LSA保护警告的问题，将尽快为用户提供更多细节。 但有一些用户没有安装KB5007651但仍然会出现重启警告，针对这种情况，Redmond分享了一个解决方案称他们可以直接忽略重启通知。如果用户启用了本地安全机构(LSA)保护，并且至少重启过一次设备，就可以忽略警告通知，并忽略任何提示重启的额外通知。 用户可以使用Windows事件查看器检查该功能是否已经在自己的计算机上启用。只要通过查找Wininit事件即可获知，若事件显示“LSASS.exe是作为级别为4的受保护进程启动的”，表明该进程被隔离并受到LSA保护。 两个月前，微软宣布，如果Windows 11内部用户的系统通过了不兼容性审计检查，那么LSA保护将在Canary通道中默认启用。 LSA和Kernel-mode硬件强制栈保护是分开的设置 在有关LSA保护的故障排除步骤中，微软仍在讨论内核模式硬件强制堆栈保护的问题，这令人十分迷惑。 此前微软曾明确表示这两个功能是不相关的，但他们此次在支持公告中仍把这两个功能混为一谈。LSA和Kernel-mode硬件强制栈保护是分开的设置。 微软表示，在最新的Windows Insider预览版本中，增加了内核模式的HSP设置，它不是LSA保护的替代品。但这个说法并不正确，因为内核模式的HSP已经在生产构建中，而不仅仅是Windows内部预览。 转自 Freebuf，原文链接：https://www.freebuf.com/news/366818.html 封面来源于网络，如有侵权请联系删除

在保护用户安全方面，Microsoft Defender 的表现一直非常出色。它提供了简单、免费的解决方案，但没有很多华而不实的功能。在 AV-TEST 在最近的一次评估中给它满分之后，这款防病毒软件又获得了一个新的评价。 如果给威胁互联网的恶意软件种类排个名次，勒索软件无疑会排在前列。正如 Neowin 所发现的，AV-TEST 最近为 Microsoft Defender 提供了勒索软件保护的最高分。 根据 AV-TEST 勒索软件防御报告，所有产品都必须在 Windows 10 下的 10 个真实场景中成功防御勒索软件。测试涉及的威胁包括存档中包含隐藏恶意软件的文件、带有脚本的 PowerPoint 文件或带有恶意内容的 HTML 文件。 在这些测试中，Microsoft Defender 获得了 40 分，这是防病毒软件所能获得的最高分。自然，它也不是唯一获得满分的选手，Avast 到 Kaspersky 的绝大多数反病毒程序都以 40 分通过。 这份报告肯定会给 Windows 用户一些令人放心的消息。内置的 Windows 防病毒软件不仅有足够的能力阻止勒索软件攻击，重要的是免费且集成到系统中。我们很有可能最终会达到一个状态，即在安全方面，您选择哪种防病毒软件并不重要。相反，只需选择最适合您个人需求的最佳 Windows 防病毒软件，并享受它提供的出色保护。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1288539.htm 封面来源于网络，如有侵权请联系删除

近日，我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告，可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务（GoogleUpdate.exe）没有给“goopdate.dll”这个动态链接库文件签名，Microsoft Defender 也突然变得严格了起来。 在运行 Google Chrome 更新时，Kevin Gary 留意到了 Microsoft Defender 安全防护软件的异常。 从他分享的日志截图来看，Defender 直接将谷歌更新标记成了恶意软件。 然后微软最有价值专家 Ota Hirufumi 解释称，官方已确认该问题属于误报，并且已经实施了修复。 据悉，家庭版（Microsoft Defender for Home）在最近的 AV-Comparatives 和 AV-TEST 横评中的总体表现相当不错。 尴尬的是，企业版（Microsoft 365 Defender）却总是将切实无害的文件和服务标记为恶意。 此外去年 2 月，Defender for Endpoint 就已经误报过一次 Chrome 更新，最近甚至将自家的 Office 更新也打上了恶意软件的标记。 即使该公司在那次事后发布了一份指南，以减少此类误报。但从实际表现来看，相关措施并未起到实质性的帮助作用。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260783.htm 封面来源于网络，如有侵权请联系删除

尽管未能赢得 AV-TEST 的最高防病毒（AV-Comparatives）等级评价，但 Microsoft Defender 仍是市面上最合适的产品之一。尴尬的是，在 Windows 11 Build 22581 编译版本中，许多人发现遇到了媒体播放问题。由 Reddit 网友的讨论可知，问题与系统自带的 Defender SmartScreen 功能冲突有关。 事实上，Microsoft Defender 反病毒软件仍不够完美，比如此前 Defender for Endpoint 有误将自家的 Office 更新标记为恶意软件。 现在，Defender SmartScreen 又为 Windows 11 最新 Beta 测试版本带来了视频播放 Bug 。 在 Windows 11 的 Reddit 子版块上，许多网友吐槽在使用 Build 22581 编译版本时遇到了视频播放问题。 除了已知的 MKV 格式，其它容器格式也可能受到“延迟执行”问题的影响，意味着微软在发布前的测试阶段出现了重大疏漏。 庆幸的是，Reddit 网友 kristijan1001 想出了一个行之有效的缓解方案 —— 只需禁用 SmartScrren 设置下的“检查应用程序和文件”，即可正常播放视频。 不过在实施这项修改之前，还请确保相关文件是从可信赖的来源下载的、或者借助其它靠谱的第三方病毒防护软件。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1251795.htm 封面来源于网络，如有侵权请联系删除

Microsoft Defender for Endpoint 今天出现了非常严重的误报事件，竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候，系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程序误报。随后微软承认确实存在这个问题。    在 Reddit 社区上，安全与合规首席技术专家 Steve Scholz 在那里的一个帖子中解释了这个问题。他写道： 请注意： 这是一个误报，现在已经被纠正了。 从3月16日上午开始，客户可能经历了一系列的假阳性检测，这归因于文件系统中的勒索软件行为检测。微软已经调查了这一检测高峰，并确定它们是假阳性结果。微软已经更新了云逻辑，以抑制误报结果。 说明 – 客户可能遇到了一系列误报检测，这些检测可归因于文件系统中的勒索软件行为检测。 – 微软已经更新了云计算逻辑，以防止今后产生警报，并清除以前的误报。 在同一主题的另一个回应中，Scholz解释说，这个问题是由一个代码问题引起的，后来已经被修复。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1247989.htm 封面来源于网络，如有侵权请联系删除