Легитимные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны под термином LOLBIN (living-off-the-land binaries).
В недавнем обновлении Microsoft Defender инструмент командной строки MpCmdRun.exe получил возможность загрузки файлов из удаленного местоположения. Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.
Теперь из-за данного нововведения Microsoft Defender входит в длинный список программ Windows, которыми могут злоупотреблять киберпреступники. Антивирус Windows 10 теперь можно использовать как LOLBIN.
Уязвимость была обнаружена исследователем безопасности Мохаммадом Аскаром (Mohammad Askar) после недавнего обновления инструмента командной строки Защитника Windows.
Well, you can download a file from the internet using Windows Defender itself.
— Askar (@mohammadaskar2) September 2, 2020
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
Инструмент стал поддерживать новый аргумент -DownloadFile
. Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
Эта функция была добавлена в Microsoft Defender версии 4.18.2007.9 или 4.18.2009.
При тестировании специалисты BleepingComputer смогли загрузить файл resources.exe, образец программы-вымогателя WastedLocker, использованный в недавней атаке Garmin.
Интересно, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно как другие антивирусные программы обработают опасные файлы.
Таким образом, теперь администраторам Windows нужно следить за дополнительным исполняемым файлом, чтобы он не использовался в злонамеренных целях.
Последние статьи #Windows
• В Microsoft Edge можно ограничить потребление ОЗУ браузером. Как включить на канале Canary
• Windows 11 Build 26090 (Dev): Что нового, готовые ISO-образы
• Windows 11 Build 26090 (Canary): Версия 24H2 без «водяного знака», готовые ISO-образы
• Microsoft удалит WordPad в Windows 11, версия 24H2. Как его вернуть
• Обновление KB5035942 для Windows 11 активирует функции Moment 5 для всех пользователей
• Intel раскрыла требования Microsoft к компьютерам с ИИ