Недавнее обновление встроенного антивирусного программного обеспечения в Windows 10 научило программу новому трюку — как загружать файлы с помощью инструмента командной строки, в том числе вредоносные (трояны, шпионское ПО, программы-вымогатели и другие вредоносные программы).
Загрузка вредоносного ПО не является предполагаемой целью, по крайней мере, я предполагаю, что это не так. Но потенциально новая функция может быть использована таким образом. К счастью, это не то, о чем следует беспокоиться обычному домашнему пользователю, если только он не мазохист на ПК (подробнее об этом чуть позже).
Эта новая способность была обнаружена Мохаммадом Аскаром (через Bleeping Computer ), тестером на проникновение в систему безопасности и инструктором, который опубликовал сотни статей по безопасности, согласно его профилю в Udemy.
«Что ж, вы можете загрузить файл из Интернета с помощью самого Защитника Windows. В этом примере я смог загрузить маяк Cobalt Strike с помощью двоичного файла MpCmdRun.exe, который является« Командной строкой Microsoft защиты от вредоносных программ », — заявил Аскар. в Твиттере.
Это эффективно позволяет локальному злоумышленнику использовать Defender в качестве так называемого «живого бинарного файла» (LOLBin). Это когда легитимное программное обеспечение используется для чего-то вредоносного — в данном случае для загрузки вируса с помощью антивирусной программы.
Похоже, что эта новая способность была добавлена в Defender с обновлением 4.18.2007.8 в июле, так что функциональность была там уже почти два месяца. Bleeping Computer протестировала новый переключатель загрузки в инструменте командной строки и смогла загрузить ту же программу-вымогатель WastedLocker, которая недавно вызвала шум в инфраструктуре Garmin , что побудило компанию, как сообщается, заплатить выкуп в несколько миллионов долларов.
Это не так беспечно, как может показаться на первый взгляд. Во-первых, Defender по-прежнему будет сканировать файлы, загружаемые с помощью этого метода, поэтому теоретически он по-прежнему должен защищать от вредоносных программ. А во-вторых, это должно быть инициировано локальным пользователем.
Тем не менее, это то, о чем системные администраторы должны знать, чтобы принять надлежащие меры предосторожности. Нередко случаи, когда мошенник причиняет вред сотрудникам, недовольны ли они, находятся на грани увольнения или по любой другой причине.