Клиент Центра обновления Windows только что был добавлен в список живых двоичных файлов (LoLBins), которые злоумышленники могут использовать для выполнения вредоносного кода в системах Windows.
LoLBins - это исполняемые файлы, подписанные Microsoft (предварительно установленные или загруженные), которые могут использоваться злоумышленниками для уклонения от обнаружения при загрузке, установке или выполнении вредоносного кода.
Они также могут быть использованы злоумышленниками для обхода контроля учетных записей Windows (UAC) или контроля приложений Защитника Windows (WDAC) и для обеспечения устойчивости на уже скомпрометированных системах.
Выполнение вредоносного кода с использованием вредоносных DLL
Клиент WSUS / Windows Update (wuauclt) - это служебная программа, расположенная в % windir% \ system32 \, которая предоставляет пользователям частичный контроль над некоторыми функциями агента обновления Windows из командной строки.Это позволяет проверять наличие новых обновлений и устанавливать их без использования пользовательского интерфейса Windows, а вместо этого запускать их из окна командной строки.
Использование параметра / ResetAuthorization позволяет инициировать ручную проверку обновлений либо на локально настроенном сервере WSUS, либо через службу Windows Update согласно Microsoft .
Однако исследователь MDSec Дэвид Миддлхерст обнаружил, что wuauclt также может использоваться злоумышленниками для выполнения вредоносного кода в системах Windows 10, загружая его из произвольной специально созданной библиотеки DLL со следующими параметрами командной строки:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Изображение: Дэвид Миддлхерст
Как видно на скриншоте выше, Full_Path_To_DLL - это абсолютный путь к специально созданному файлу DLL злоумышленника, который будет выполнять код при присоединении.
Этот метод обхода защиты классифицируется MITER ATT & CK как выполнение подписанного двоичного прокси-сервера через Rundll32 и позволяет злоумышленникам обойти защиту от вирусов, контроля приложений и проверки цифровых сертификатов.
В этом случае он выполняет это путем выполнения вредоносного кода из библиотеки DLL, загруженной с помощью подписанного двоичного файла Microsoft, клиента Центра обновления Windows (wuauclt).
Обнаружив, что wuauclt также можно использовать в качестве LoLBin, Миддлхерст также нашел образец, использующий его в дикой природе.
Microsoft недавно обновила антивирусное решение Windows 10 Microsoft Defender, по иронии судьбы и незаметно добавив способ загрузки файлов (потенциально вредоносных) на устройства Windows .
MpCmdRun справка
Позднее Microsoft удалила эту возможность из MpCmdRun.exe (служебная программа командной строки службы Microsoft Antimalware).
В прошлом месяце BleepingComputer также сообщил, что команду Microsoft Windows TCPIP Finger также можно использовать в качестве загрузчика файлов и в качестве замещающего сервера управления и контроля (C3) для извлечения данных .
Перевод с ангийского - GoogleBleeping Computer
