这个 Windows 密钥验证工具实际上是一个绕过 Defender 的致命 BitRAT

小伙伴们有没有觉得学习文章很有意思？有意思就对了！今天就给大家带来《这个 Windows 密钥验证工具实际上是一个绕过 Defender 的致命 BitRAT》，以下内容将会涉及到，若是在学习中对其中部分知识点有疑问，或许看了本文就能帮到你！

安全研究公司 ASEC 发现了一个新的恶意软件活动，它以 Windows 产品密钥验证工具的形式伪装自己。在这种伪装下，该工具实际上是 BitRAT 或远程访问木马。

ASEC 发现这种特殊的 RAT 正在通过 Webhards 分发，Webhards 是韩国的在线文件共享服务。虽然破解和盗版软件通常会用恶意软件感染设备，但许多人往往不会认真对待此类警告，或者他们可能买不起正版 Windows 许可证。因此，恶意软件制造者继续通过这种方式制作和分发恶意软件。

现在，了解这个 BitRAT 的工作原理，ASEC 解释说，下载的 zip 文件“W10DigitalActivation.exe”包含恶意文件，但也带有正版 Windows 激活文件。“W10DigitalActivation”msi 文件显然是真实的，而另一个“W10DigitalActivation_Temp”文件是恶意软件（见下图）。

当毫无戒心的用户运行 exe 文件时，实际验证工具和恶意软件文件都会同时执行，从而给用户留下 Windows 许可证密钥验证工具按预期工作的印象。

然后，W10DigitalActivation_Temp.exe 恶意软件文件继续从命令和控制 (C&C) 服务器下载其他恶意文件，并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中。最后，BitRAT 作为“ Software_Reporter_Tool.exe ”文件安装在 %temp% 文件夹和 Windows Defender 中，添加了 Startup 文件夹的排除路径和 BitRAT 的排除过程。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~