安全防线遭合法穿透：新型工具利用杀毒软件白名单写入恶意文件

近日，一款名为“DefenderWrite”的新型安全测试工具引发业内广泛关注。该工具能够利用Windows系统中的白名单程序，绕过杀毒软件的自我防护机制，将任意文件写入其受保护的可执行文件夹，从而为恶意软件实现持久化驻留与检测规避开辟了新路径。

据了解，DefenderWrite由网络安全专家“Two Seven One Three”开发，旨在帮助渗透测试与红队人员在无需内核权限的情况下，将载荷投递至传统上难以篡改的系统核心区域。其关键技术在于系统性地扫描C:Windows等目录中的可执行文件，通过进程创建与远程DLL注入，测试哪些程序被防病毒软件视为“可信”，进而获得对其安装目录的写入权限。

测试显示，在运行Microsoft Defender 4.18.25070.5-0的Windows 11 24H2系统中，该工具成功识别出msiexec.exe、Register-CimProvider.exe、svchost.exe及lsass.exe四个可被利用的进程。例如，通过启动msiexec.exe并注入自定义DLL，攻击者可直接向Defender安装目录写入文件，全程不触发防护警报。

值得注意的是，该技术不仅限于Microsoft Defender。研究团队已确认BitDefender、TrendMicro Antivirus Plus及Avast等主流防病毒产品中同样存在类似的白名单策略漏洞。尽管具体细节未公开，以鼓励行业自主验证与修复，但这一发现无疑暴露出防病毒软件在“运营便利性”与“安全严格性”之间的策略失衡。

DefenderWrite的发布，迅速在安全社区引发讨论。有专家指出，该工具虽非利用零日漏洞，却揭示了一个系统性风险：防病毒厂商为便于软件更新而设置的白名单程序，正成为攻击者绕过防护的“合法后门”。企业需重新审视其终端防护体系，加强对防病毒更新过程的监控，并部署超越传统文件权限控制的纵深防御策略。

随着DefenderWrite在GitHub上公开，预计将推动更广泛的研究与验证，进而促使主流安全厂商尽快审核并收紧其白名单权限，在保障功能的同时，堵上这扇“自己打开的门”。