Легитимные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны под термином LOLBIN (living-off-the-land binaries).
В недавнем обновлении Microsoft Defender инструмент командной строки MpCmdRun.exe получил возможность загрузки файлов из удаленного местоположения. Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.
Теперь из-за данного нововведения Microsoft Defender входит в длинный список программ Windows, которыми могут злоупотреблять киберпреступники. Антивирус Windows 10 теперь можно использовать как LOLBIN.
Уязвимость была обнаружена исследователем безопасности Мохаммадом Аскаром (Mohammad Askar) после недавнего обновления инструмента командной строки Защитника Windows.
Well, you can download a file from the internet using Windows Defender itself.
— Askar (@mohammadaskar2) September 2, 2020
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
Инструмент стал поддерживать новый аргумент -DownloadFile
. Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
Эта функция была добавлена в Microsoft Defender версии 4.18.2007.9 или 4.18.2009.
При тестировании специалисты BleepingComputer смогли загрузить файл resources.exe, образец программы-вымогателя WastedLocker, использованный в недавней атаке Garmin.
Интересно, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно как другие антивирусные программы обработают опасные файлы.
Таким образом, теперь администраторам Windows нужно следить за дополнительным исполняемым файлом, чтобы он не использовался в злонамеренных целях.
Последние статьи #Windows
• Microsoft PowerToys 0.92: улучшение производительности, тест скорости и исправление проблем с браузером в Windows 11, версия 24H2
• Windows 11 резко увеличила долю рынка и догнала Windows 10
• Microsoft объяснила «пропажу» 400 миллионов устройств Windows: это была ошибка формулировки
• Windows 11 получит улучшенную поддержку ключей доступа благодаря 1Password
• Эксперт: Microsoft могла потерять 400 миллионов пользователей Windows за три года
• Windows 11 версии 25H2: Всё, что известно о следующем обновлении ОС от Microsoft