Windows Update可能被滥用来执行恶意文件

Windows Update可能被滥用来执行恶意文件

Windows Update客户端刚刚被添加到攻击者可用于在Windows系统上执行恶意代码的远程二进制文件(LoLBins)列表。

LoLBins是Microsoft签名的可执行文件(预先安装或下载),在下载,安装或执行恶意代码时,威胁行为者可能会滥用它们来逃避检测。

攻击者还可以使用它们来绕过Windows用户帐户控制(UAC)或Windows Defender应用程序控制(WDAC)并在已经受到威胁的系统上获得持久性。

使用恶意DLL执行恶意代码

WSUS / Windows Update客户端(wuauclt)是位于%windir%\ system32 \处的实用程序,可为用户从命令行提供对Windows Update Agent某些功能的部分控制。

它允许检查新的更新并安装它们,而不必使用Windows用户界面,而是从命令提示符窗口触发它们。

使用/ResetAuthorization选项可以在本地配置的WSUS服务器上启动手动更新检查,也可以根据Microsoft的要求通过Windows更新服务启动手动更新检查。

但是,MDSec研究人员David Middlehurst发现,攻击者还可以通过使用以下命令行选项从任意特制的DLL加载wuauclt,从而在Windows 10系统上执行恶意代码:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
Windows Update客户端哈尔滨
图片:大卫·米德赫斯特(David Middlehurst)

如上面的屏幕快照所示,Full_Path_To_DLL是攻击者特制的DLL文件的绝对路径,该文件将在附加时执行代码。

MITRE ATT&CK通过Rundll32将这种防御规避技术归类为签名二进制代理执行,它使攻击者可以绕过防病毒,应用程序控制和数字证书验证保护

在这种情况下,它通过从使用签名的Microsoft二进制文件Windows Update客户端(wuauclt)加载的DLL中执行恶意代码来执行此操作。

在发现wuauclt也可以用作LoLBin之后,Middlehurst还找到了在野外使用它的样本

微软最近更新了Windows 10 Microsoft Defender防病毒解决方案,具有讽刺意味的是,它悄悄地添加了一种将文件(可能是恶意文件)下载到Windows设备的方法

MpCmdRun帮助
MpCmdRun帮助

Microsoft随后从MpCmdRun.exe(Microsoft反恶意软件服务命令行实用程序)中删除了该功能。

上个月,BleepingComputer还报告说,Microsoft Windows TCPIP Finger命令还可以用作文件下载器,以及用作 渗出数据替代命令和控制(C3)服务器

*编译:Domino

*来自:bleepingcomputer