본문 바로가기
Security

Microsoft defender MPCmdRun.exe can download malware

by 올엠 2020. 9. 28.
반응형

Microsoft Defender를 이용한 멜웨어 다운로드가 가능하다는 기사가 나왔다.

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-ironically-be-used-to-download-malware/

바로 MPCmdRun.exe에서 제공하는 -DownloadFile 옵션을 이용하는 것이다.

LOLBAS프로젝트에도 관련 공격방식이 업데이트 되어있다.

 

https://github.com/LOLBAS-Project/LOLBAS/blob/master/yml/OSBinaries/MpCmdRun.yml

 

LOLBAS-Project/LOLBAS

Living Off The Land Binaries And Scripts - (LOLBins and LOLScripts) - LOLBAS-Project/LOLBAS

github.com

 

LOLBAS는Living Off The Land Binaries And Scripts의 약자로,  해커가 멜웨어를 다운로드/인스톨 하기위해 별도의 도구가 필요 없이 Windows에서 제공하는 바이너리를 사용할 수 있는 방식의 공격 방식을 말한다.

 

Powershell 역시 LOLBAS의 일종이라고 할 수 있다.

 

Microsoft에서 관련 업데이트를 할 예정이지만, 적절한 보호 방안으로는 다음 이벤트를 등록하여 모니터링을 추천한다.

Security Event 4688
Process 필드 "MpCmdRun.exe"
CommandLine 필드에  "DownloadFile" 을 포함

위 내용으로 모니터링 시스템에 등록하여 확인하기 바란다.

반응형

댓글0