微软Microsoft Defender功能是协助防范恶意程序在终端设备上执行,但却有人发现,它也可以被用来下载恶意程序。
最新版Microsoft Defender的指令行工具MpCmdRun.exe做了更新,可让用户从远程下载文件。但一名计算机玩家暨安全研究人员Mohammad Askar发现,MpCmdRun.exe可加入-DownloadFile的新参数(argument),让用户可以通过以下指令,从远程网站下载任何文件,包括恶意程序:MpCmdRun.exe -DownloadFile -url “url” -path “path_to_save_file”
他还示范了以此指令从远程网站下载Cobalt Strike Beacon木马程序。
恶意程序利用机器上的合法程序为掩护执行的手法,被称为离地攻击二进制档(living-off-the-land binaries,LoLBin)是现今新兴的黑客手法,一些Windows合法行程如msiexec.exe、unzip.exe、rundll32.exe、schtasks.exe和powershell.exe都相继被用来执行恶意程序。这项指令的滥用也可视为一种LoLBin攻击。
根据Bleeping Computer测试,4.18.2007.9或4.18.2009.9版Microsoft/Windows Defender都加入这项功能。
所幸这项发现暂时不会影响Defender用户。Askar说这个指令仅能下载文件。此外,如果微软后端病毒特征状已经有此恶意程序的特征,则Microsoft Defender还是能及时阻拦不让它执行