Недавнее обновление встроенного антивирусного программного обеспечения в Windows 10 научило программу новому трюку — как загружать файлы с помощью инструмента командной строки, в том числе вредоносные (трояны, шпионское ПО, программы-вымогатели и другие вредоносные программы).
Загрузка вредоносного ПО не является предполагаемой целью, по крайней мере, я предполагаю, что это не так. Но потенциально новая функция может быть использована таким образом. К счастью, это не то, о чем следует беспокоиться обычному домашнему пользователю, если только он не мазохист на ПК (подробнее об этом чуть позже).
Эта новая способность была обнаружена Мохаммадом Аскаром (через Bleeping Computer ), тестером на проникновение в систему безопасности и инструктором, который опубликовал сотни статей по безопасности, согласно его профилю в Udemy.
«Что ж, вы можете загрузить файл из Интернета с помощью самого Защитника Windows. В этом примере я смог загрузить маяк Cobalt Strike с помощью двоичного файла MpCmdRun.exe, который является« Командной строкой Microsoft защиты от вредоносных программ », — заявил Аскар. в Твиттере.
Это эффективно позволяет локальному злоумышленнику использовать Defender в качестве так называемого «живого бинарного файла» (LOLBin). Это когда легитимное программное обеспечение используется для чего-то вредоносного — в данном случае для загрузки вируса с помощью антивирусной программы.
Похоже, что эта новая способность была добавлена в Defender с обновлением 4.18.2007.8 в июле, так что функциональность была там уже почти два месяца. Bleeping Computer протестировала новый переключатель загрузки в инструменте командной строки и смогла загрузить ту же программу-вымогатель WastedLocker, которая недавно вызвала шум в инфраструктуре Garmin , что побудило компанию, как сообщается, заплатить выкуп в несколько миллионов долларов.
Это не так беспечно, как может показаться на первый взгляд. Во-первых, Defender по-прежнему будет сканировать файлы, загружаемые с помощью этого метода, поэтому теоретически он по-прежнему должен защищать от вредоносных программ. А во-вторых, это должно быть инициировано локальным пользователем.
Тем не менее, это то, о чем системные администраторы должны знать, чтобы принять надлежащие меры предосторожности. Нередко случаи, когда мошенник причиняет вред сотрудникам, недовольны ли они, находятся на грани увольнения или по любой другой причине.
Дополнительные статьи:
Постоянное отключение встроенного антивирусного сканера Windows 10 больше не является вариантом
Лучший антивирус для игр на ПК 2023
Поиграйте с этим дополнительным обновлением Windows 10, если во время игры вылетает компьютер
Октябрьское обновление для Windows 10 в этом году содержит гораздо меньше ошибок, чем предыдущее
Windows 10 получает новые настройки для опытных пользователей с несколькими графическими процессорами- Если ваш компьютер с Windows 10 внезапно начинает работать медленно, Microsoft хочет услышать от вас