LockBit通过Defender加载CobaltStrike

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《LockBit利用Defender加载Cobalt Strike》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

发现异常进程或远程控制行为时，应立即排查Windows Defender排除列表、检测Cobalt Strike内存注入、禁用实时保护进行深度扫描、审查计划任务与启动项、清除浏览器可疑扩展及缓存文件。

如果发现系统中出现异常进程调用或未经授权的远程控制行为，可能是攻击者利用可信系统组件绕过安全检测所致。近期观察到 LockBit 勒索软件通过滥用 Windows Defender 的机制来加载 Cobalt Strike，从而实现隐蔽渗透。以下是排查与应对该问题的操作步骤：

本文运行环境：Dell XPS 15，Windows 11

一、检查 Windows Defender 是否被滥用

攻击者常利用 mshta、powershell 或 wmic 等合法工具配合 Windows Defender 的排除列表功能，规避扫描。需确认 Defender 是否被配置为忽略恶意路径或进程。

1、以管理员身份打开命令提示符，执行以下命令查看当前排除项：
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath

2、检查输出结果中是否存在可疑目录，例如临时文件夹、用户下载目录或非常规可执行路径。

3、若发现异常条目，使用以下 PowerShell 命令移除：
Remove-MpPreference -ExclusionPath "可疑路径"

二、检测 Cobalt Strike 的典型行为特征

Cobalt Strike 通常通过内存注入方式运行，不写入磁盘，因此依赖行为分析识别其活动痕迹。常见表现为异常网络连接和远程线程创建。

1、在任务管理器中切换到“详细信息”选项卡，查找名称为 svchost.exe、dllhost.exe 或 msdtc.exe 的多个实例。

2、右键这些进程，选择“转到详细信息”，记录其 PID 编号。

3、打开命令提示符并运行：
netstat -ano | findstr "PID"（将 PID 替换为实际编号）

4、观察是否有连接至境外 IP 地址或非常见端口（如 50000 以上）的 TCP 连接。

三、禁用 Windows Defender 实时保护进行深度扫描

为防止恶意代码在扫描过程中继续扩散，可在临时关闭实时防护后运行第三方反病毒工具进行全面检查。

1、进入“设置” → “隐私和安全性” → “Windows 安全中心” → “病毒和威胁防护”。

2、点击“管理设置”，暂时关闭“实时保护”开关。

3、立即运行已下载的 EDR 工具或杀毒软件全盘扫描。

4、扫描完成后重新启用实时保护，并确认系统无残留威胁。

四、审查计划任务与启动项

攻击者可能通过计划任务持久化 Cobalt Strike 载荷，利用系统信任机制定期唤醒恶意会话。

1、按下 Win + R 键，输入 taskschd.msc 并回车，打开任务计划程序。

2、浏览“任务计划程序库”，查找名称含随机字符、伪装成系统更新或备份任务的条目。

3、选中可疑任务，查看“操作”选项卡中的执行命令路径。

4、若命令指向 PowerShell 脚本且参数包含 -enc 或 -command，则极有可能是加密载荷调用，应立即删除该任务。

五、清除浏览器扩展与临时文件

部分攻击链始于钓鱼邮件附件，通过浏览器下载初始载荷并释放至本地缓存目录。

1、打开 Chrome 浏览器，地址栏输入 chrome://extensions/ 并访问扩展管理页面。

2、移除所有未知或非官方来源的插件。

3、按下 Ctrl + Shift + Delete 组合键，勾选“下载内容”、“Cookie 和其他站点数据”、“缓存图像和文件”，设定时间为“过去一小时”。

4、确认清理完成后重启浏览器。

好了，本文到此结束，带大家了解了《LockBit通过Defender加载CobaltStrike》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！