Windows Update客户端刚刚被添加到攻击者可用于在Windows系统上执行恶意代码的远程二进制文件(LoLBins)列表。
LoLBins是Microsoft签名的可执行文件(预先安装或下载),在下载,安装或执行恶意代码时,威胁行为者可能会滥用它们来逃避检测。
攻击者还可以使用它们来绕过Windows用户帐户控制(UAC)或Windows Defender应用程序控制(WDAC)并在已经受到威胁的系统上获得持久性。
使用恶意DLL执行恶意代码
WSUS / Windows Update客户端(wuauclt)是位于%windir%\ system32 \处的实用程序,可为用户从命令行提供对Windows Update Agent某些功能的部分控制。
它允许检查新的更新并安装它们,而不必使用Windows用户界面,而是从命令提示符窗口触发它们。
使用/ResetAuthorization选项可以在本地配置的WSUS服务器上启动手动更新检查,也可以根据Microsoft的要求通过Windows更新服务启动手动更新检查。
但是,MDSec研究人员David Middlehurst发现,攻击者还可以通过使用以下命令行选项从任意特制的DLL加载wuauclt,从而在Windows 10系统上执行恶意代码:
wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
如上面的屏幕快照所示,Full_Path_To_DLL是攻击者特制的DLL文件的绝对路径,该文件将在附加时执行代码。
MITRE ATT&CK通过Rundll32将这种防御规避技术归类为签名二进制代理执行,它使攻击者可以绕过防病毒,应用程序控制和数字证书验证保护
在这种情况下,它通过从使用签名的Microsoft二进制文件Windows Update客户端(wuauclt)加载的DLL中执行恶意代码来执行此操作。
在发现wuauclt也可以用作LoLBin之后,Middlehurst还找到了在野外使用它的样本。
微软最近更新了Windows 10 Microsoft Defender防病毒解决方案,具有讽刺意味的是,它悄悄地添加了一种将文件(可能是恶意文件)下载到Windows设备的方法。
Microsoft随后从MpCmdRun.exe(Microsoft反恶意软件服务命令行实用程序)中删除了该功能。
上个月,BleepingComputer还报告说,Microsoft Windows TCPIP Finger命令还可以用作文件下载器,以及用作 渗出数据的替代命令和控制(C3)服务器。
*编译:Domino
*来自:bleepingcomputer