avatar_brodyaga

Microsoft Defender может использоваться для загрузки вредоносных программ

Автор brodyaga, 04-09-2020, 18:23

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

brodyagaTopic starter

04-09-2020, 18:23
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


По иронии судьбы недавнее обновление антивирусного решения Microsoft Defender для Windows 10 позволяет ему загружать вредоносные программы и другие файлы на компьютер с Windows.

Законные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны как живые двоичные файлы или LOLBIN.

В недавнем обновлении Защитника Майкрософт средство командной строки MpCmdRun.exe было обновлено, чтобы включить возможность загрузки файлов из удаленного местоположения, что может быть использовано злоумышленниками.

Благодаря этой новой функции Microsoft Defender теперь входит в длинный список программ Windows, которыми могут злоупотреблять местные злоумышленники.

Microsoft Defender можно использовать как LOLBIN

Обнаруженный исследователем безопасности  Мохаммадом Аскаром , недавнее обновление инструмента командной строки Microsoft Defender теперь включает новый -DownloadFileаргумент командной строки.

Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В тестах, проведенных You are not allowed to view links. Register or Login, эта функция была добавлена ​​в Microsoft Defender в версии 4.18.2007.9 или 4.18.2009.9.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Справка по MpCmdRun
Как вы можете видеть ниже, BleepingComputer был в состоянии загрузить  resources.exe  файл, образец WastedLocker вымогателей , используемый в  последнее время Garmin  атаки.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Загрузка программы-вымогателя с помощью Microsoft Defender

Хорошая новость заключается в том, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно, позволит ли другое антивирусное программное обеспечение обходить их обнаружения.

Благодаря этому открытию администраторы и рабочие команды теперь имеют дополнительный исполняемый файл Windows, который им необходимо отслеживать, чтобы он не использовался против них.

You are not allowed to view links. Register or Login
Печать
Вверх Страницы1
Действия пользователя
🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.