Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend - wyłącz Windows Defendera niczym Trickbot, REvil Ransomware czy inny malware

więcej informacji poniżej

Dodatkowe informacje

Cmdlet

Set-MpPreference

służy do zmiany konfiguracji Windows Defendera. Nierzadko Windows Defender to jedyna obrona włączona na systemach Microsoftu, więc nic dziwnego, że jeśli jest taka opcja, złośliwe oprogramoowanie będzie dążyć do tego, by tę ochronę wyłączyć. Korzystał z tej techniki między innymi REvil Ransomware, Trickbot czy też Zloader.

Co robi konkretnie ten oneliner jest w pewien sposób samodokumentujące się, natomiast warto sobie rzucić okiem na dokumentację do Set-MpPreference, by poznać wszystkie dostępne opcje.

Przydatne linki

https://blog.qualys.com/vulnerabilities-threat-research/2021/07/07/analyzing-the-revil-ransomware-attack - analiza REvil Ransomware
https://www.sentinelone.com/labs/trickbot-update-brief-analysis-of-a-recent-trickbot-payload/ - payloady Trickbota wykorzystujące
```
Set-MpPreference
```
https://assets.sentinelone.com/sentinellabs/SentinelLabs-Zloader - szczegółowy raport na temat Zloadera
https://docs.microsoft.com/en-us/powershell/module/defender/set-mppreference - dokumentacja do
```
Set-MpPreference
```

Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.