Легитимные файлы операционной системы, которые могут использоваться в злонамеренных целях, известны под термином LOLBIN (living-off-the-land binaries).
В недавнем обновлении Microsoft Defender инструмент командной строки MpCmdRun.exe получил возможность загрузки файлов из удаленного местоположения. Данная функция может использоваться злоумышленниками для доставки вредоносного ПО в целевые системы.
Теперь из-за данного нововведения Microsoft Defender входит в длинный список программ Windows, которыми могут злоупотреблять киберпреступники. Антивирус Windows 10 теперь можно использовать как LOLBIN.
Уязвимость была обнаружена исследователем безопасности Мохаммадом Аскаром (Mohammad Askar) после недавнего обновления инструмента командной строки Защитника Windows.
Well, you can download a file from the internet using Windows Defender itself.
— Askar (@mohammadaskar2) September 2, 2020
In this example, I was able to download Cobalt Strike beacon using the binary "MpCmdRun.exe" which is the "Microsoft Malware Protection Command Line". pic.twitter.com/RdCira3QPt
Инструмент стал поддерживать новый аргумент -DownloadFile
. Эта директива позволяет локальному пользователю использовать служебную программу командной строки Microsoft Antimalware Service (MpCmdRun.exe) для загрузки файла из удаленного местоположения с помощью следующей команды:
MpCmdRun.exe -DownloadFile -url [URL-адрес] -path [путь для сохранения файла]
Эта функция была добавлена в Microsoft Defender версии 4.18.2007.9 или 4.18.2009.
При тестировании специалисты BleepingComputer смогли загрузить файл resources.exe, образец программы-вымогателя WastedLocker, использованный в недавней атаке Garmin.
Интересно, что Microsoft Defender обнаруживает вредоносные файлы, загруженные с помощью MpCmdRun.exe, но неизвестно как другие антивирусные программы обработают опасные файлы.
Таким образом, теперь администраторам Windows нужно следить за дополнительным исполняемым файлом, чтобы он не использовался в злонамеренных целях.
Последние статьи #Windows
• Microsoft исправила проблему с командой sfc /scannow в обновлении KB5044384 для Windows 11, версия 24H2
• Rufus 4.6 автоматически обходит проверки совместимости Windows 11, версия 24H2
• Обновление KB5044373 (Build 22635.4367) для Windows 11, версия 23H2 (Beta)
• Обновление KB5044374 (Build 26120.2122) для Windows 11, версия 24H2 (Dev)
• Windows 11, версия 24H2: Системная очистка теперь удаляет не все временные файлы
• Обновление KB5044380 (Build 22631.4387) Preview для Windows 11, версия 23H2