Microsoft Defender示意圖,圖片來源/微軟

微軟Microsoft Defender功能是協助防範惡意程式在終端裝置上執行,但卻有人發現,它也可以被用來下載惡意程式。

最新版Microsoft Defender的指令行工具MpCmdRun.exe做了更新,可讓使用者從遠端下載檔案。但一名電腦玩家暨安全研究人員Mohammad Askar發現,MpCmdRun.exe可加入-DownloadFile的新引數(argument),讓用戶可以透過以下指令,從遠端網站下載任何檔案,包括惡意程式:MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

他還示範了以此指令從遠端網站下載Cobalt Strike Beacon木馬程式。

惡意程式利用機器上的合法程式為掩護執行的手法,被稱為離地攻擊二進位檔(living-off-the-land binaries,LoLBin)是現今新興的駭客手法,一些Windows合法行程如msiexec.exe、unzip.exe、rundll32.exe、schtasks.exe和powershell.exe都相繼被用來執行惡意程式。這項指令的濫用也可視為一種LoLBin攻擊。

根據Bleeping Computer測試,4.18.2007.9 或4.18.2009.9版Microsoft/Windows Defender都加入這項功能。

所幸這項發現暫時不會影響Defender用戶。Askar說這個指令僅能下載檔案。此外,如果微軟後端病毒特徵狀已經有此惡意程式的特徵,則Microsoft Defender還是能及時攔阻不讓它執行


熱門新聞

Advertisement