Четверг, 21 января, 14:58
дома безопасность Центр обновления Windows: используется для выполнения вредоносного кода.

Центр обновления Windows: используется для выполнения вредоносного кода.

Центр обновления Windows

Это Клиент Windows Update может использоваться Преступники киберпространства для вредоносное ПО в системах Windows. Как говорят специалисты, Windows Обновление добавлено в список LoLBins (двоичные файлы, живущие вне земли).

LoLBins исполняются по подписи Microsoft (предварительно установленная или загруженная), которую хакеры могут использовать для избежать обнаружения (при загрузке) и для установка или выполнение вредоносного кода.

Также преступники могут выбирать их для обойти его контроль Контроль учетных записей Windows (UAC) или Контроль приложений Защитника Windows (WDAC) и остаться надолго в системы которые уже были нарушены.

Выполнение вредоносного кода с вредоносной DLLs

Клиент WSUS / Windows Update (wuauclt) - это служебная программа, которая находится в% windir% \ system32 \, предоставляя пользователям некоторый контроль над некоторыми функциями агента обновления Windows из командной строки.

Позволяет пользователям проверять наличие новых обновлений и устанавливать их без использования Windows UI. Они могут сделать это из окна командной строки.

Однако исследователь MDSec, Дэвид Миддлхерст, обнаружил, что злоумышленники могут использовать wuauclt для выполнения вредоносного кода на системы работает под управлением Windows 10, загружая его с одного специально созданная DLL:

wuauclt.exe / UpdateDeploymentProvider [путь_к_dll] / RunHandlerComServer

Как показано на скриншоте выше, Full_Path_To_DLL - это единственный путь к пользовательскому файлу DLL, который будет выполнять код.

Согласно MITER ATT & CK, этот метод предотвращения обнаружения относится к категории Подписанное выполнение двоичного прокси через Rundll32 и позволяет злоумышленникам обходить антивирусную программу, контролировать приложения и проверять цифровые сертификаты.

Согласно Bleepingcomputer, в этом случае он выполняется под управлением злонамеренный код из библиотеки DLL, загруженной с помощью подписанный двоичный файл Microsoft, ХО Клиент Windows Update (wuauclt).

Обнаружив, что wuauclt можно использовать как LoLBin, исследователь из Мидлхерста обнаружил образец, который уже использовался.

Microsoft недавно обновила Windows 10 Microsoft Defender, добавив способ загрузки (потенциально вредоносных) файлов на устройства. Windows.

Позже удалите эту функцию из MpCmdRun.exe (служебная программа командной строки службы Microsoft Antimalware).

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...

Microsoft: «нулевое доверие» защищает от изощренных хакерских атак

Согласно Microsoft, методы, использованные хакерами SolarWinds, были сложными, но распространенными и предотвратимыми. Чтобы избежать атак в будущем ...

США: Twitter блокирует аккаунт посольства Китая из-за «дегуманизации»

Твиттер заявил, что заблокировал аккаунт посольства Китая в США за твит о его женщинах ...

Жертвы программ-вымогателей платят выкуп, чтобы предотвратить утечку их данных

Хранение резервных копий очень важно, особенно в случае атак программ-вымогателей. Однако похоже, что хакеры используют новые методы, с ...

Поклонники QAnon: разочарованы в социальных сетях после приведения Байдена к присяге

Некоторые сторонники QAnon выразили разочарование в онлайн-форумах и чатах по поводу приведения к присяге Джо Байдена. Наиболее...

COVID-19: Amazon хочет помочь Байдену распространять вакцины

Amazon предложила помочь президенту Байдену распространять вакцины от COVID-19. Письмо от Дэйва Кларка, вице-президента ...

Nitro PDF: утечка базы данных с 77 миллионами пользовательских файлов!

20 января хакер просочился из украденной базы данных, содержащей адреса электронной почты, имена и пароли для более ...

Хакеры бесплатно предоставляют онлайн 2 миллиона пользовательских файлов Pixlr!

Хакеры слили 2 миллиона пользовательских файлов Pixlr, содержащих информацию, которую затем можно было использовать для выполнения ...