Microsoft Defender Antivirus (MDAV) est un programme antivirus que l’on retrouve sur la plupart des machines Windows 10, Windows 8.1 et Windows 7. Il fournit une protection en temps réel contre les logiciels malveillants et peut analyser les fichiers, les applications et les paramètres à la recherche de menaces informatiques.
Cette fonctionnalité axée sur la protection en temps réel est également celle que les attaquants tentent généralement de désactiver. En effet, Microsoft Defender Antivirus peut être désactivé ou falsifié en utilisant différentes techniques. Ces techniques peuvent être des commandes PowerShell classiques telles que « Set-MpPreference » mais également un exécutable légitime de MDAV, comme MpCmdRun.exe.
Pour vous protéger de ces techniques, plusieurs règles de détection Sigma sont partagées dans cet article de blog et dans notre dépôt GitHub public. Les utilisateurs de notre plateforme SOC ont accès à ces règles et plus précisement dans notre catalogue de règles.
N’hésitez pas à découvrir d’autres glossaires et à lire d’autres analyses TDR ici :
- Unveiling of a large resilient infrastructure distributing information stealers
- Traffers: a deep dive into the information stealer ecosystem
- PrivateLoader: the loader of the prevalent ruzki PPI service
- MSDT abused to achieve RCE on Microsoft Office
- Overview of the Russian-speaking infostealer ecosystem: the distribution
