00:00:00

Автор Тема: Microsoft Defender может использоваться для загрузки вредоносных программ  (Прочитано 74 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • У каждой крыши свой стиль езды...
  • Супер-Модератор
  • ****
  • kz

<---Информация--->

  • Сообщений: 6848
  • Регистрация: 25-12-2016
  • Возраст: 30
  • Спасибо за пост:
  • -Сказал(а) спасибо: 23593
  • -Поблагодарили: 25629
  • Награды За 5 000 сообщений Модератор форума Новостнику форума За активную помощь форуму За активность в разделе Софт Журналисту форума За активность в разделах Книги и Аудио-книги От души Дополнительная Золотая Дополнительная Серебряная medal-red-gold За помощь форуму За участие
    • Награды
https://i.postimg.cc/59CYLZnV/windows-defender-bg.jpg


По иронии судьбы недавнее обновление антивирусного решения Microsoft Defender для Windows 10 позволяет ему загружать вредоносные программы и другие файлы на компьютер с Windows.

Законные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны как живые двоичные файлы или LOLBIN.

В недавнем обновлении Защитника Майкрософт средство командной строки MpCmdRun.exe было обновлено, чтобы включить возможность загрузки файлов из удаленного местоположения, что может быть использовано злоумышленниками.

Благодаря этой новой функции Microsoft Defender теперь входит в длинный список программ Windows, которыми могут злоупотреблять местные злоумышленники.

Microsoft Defender можно использовать как LOLBIN

Обнаруженный исследователем безопасности  Мохаммадом Аскаром , недавнее обновление инструмента командной строки Microsoft Defender теперь включает новый -DownloadFileаргумент командной строки.

Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:

https://i.postimg.cc/tC6fxt1T/image.png

В тестах, проведенных BleepingComputer.com, эта функция была добавлена ​​в Microsoft Defender в версии 4.18.2007.9 или 4.18.2009.9.

https://i.postimg.cc/jSFt8jSk/mpcmdrun-helpfule.jpg
Справка по MpCmdRun
Как вы можете видеть ниже, BleepingComputer был в состоянии загрузить  resources.exe  файл, образец WastedLocker вымогателей , используемый в  последнее время Garmin  атаки.

https://i.postimg.cc/rpXYF6nw/microsoft-defender-lolbin.jpg
Загрузка программы-вымогателя с помощью Microsoft Defender

Хорошая новость заключается в том, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно, позволит ли другое антивирусное программное обеспечение обходить их обнаружения.

Благодаря этому открытию администраторы и рабочие команды теперь имеют дополнительный исполняемый файл Windows, который им необходимо отслеживать, чтобы он не использовался против них.

[Ссылки могут видеть только зарегистрированные пользователи. ]

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.