Windows Update 클라이언트는 공격자가 Windows 시스템에서 악성 코드를 실행하는 데 사용할 수있는 LoLBins (living-off-the-land binaries) 목록에 방금 추가되었습니다. 이러한 방식으로로드 된 유해 코드는 시스템 보호 메커니즘을 우회 할 수 있습니다.
tiktok에 노래를 추가하는 방법
LoLBins에 익숙하지 않은 경우 악성 코드를 다운로드, 설치 또는 실행하는 동안 탐지를 회피하기 위해 타사에서 사용할 수있는 Microsoft 서명 실행 파일 다운로드 또는 OS와 함께 번들로 제공됩니다. Windows Update 클라이언트 (wuauclt)가 그중 하나 인 것 같습니다.
이 도구는 % windir % system32 wuauclt.exe에 있으며 명령 줄에서 Windows Update (일부 기능)를 제어하도록 설계되었습니다.
MDSec 연구원 David Middlehurst는 wuauclt는 공격자가 다음 명령 줄 옵션을 사용하여 특수하게 조작 된 임의의 DLL에서로드하여 Windows 10 시스템에서 악성 코드를 실행하는 데 사용될 수도 있습니다.
wuauclt.exe / UpdateDeploymentProvider [path_to_dll] / RunHandlerComServerFull_Path_To_DLL 부분은 첨부시 코드를 실행하는 공격자의 특수 제작 된 DLL 파일에 대한 절대 경로입니다. Windows Update 클라이언트에서 실행되므로 공격자가 바이러스 백신, 응용 프로그램 제어 및 디지털 인증서 유효성 검사 보호를 우회 할 수 있습니다. 최악의 점은 Middlehurst가 야생에서 사용하는 샘플도 발견했다는 것입니다.
컴퓨터에서 Spotify 할 노래를 추가하는 방법
Microsoft Defender에 다음 기능이 포함되어 있다는 사실이 이전에 발견되었다는 점은 주목할 가치가 있습니다. 인터넷에서 파일 다운로드 보안 검사를 우회합니다. 다행히 Windows Defender 맬웨어 방지 클라이언트 버전 4.18.2009.2-0부터 Microsoft는 앱에서 적절한 옵션을 제거했으며 더 이상 조용한 파일 다운로드에 사용할 수 없습니다.
출처: 블 리핑 컴퓨터
