Windows Update는 악성 프로그램을 실행하는 나쁜 방법으로 사용될 수 있습니다.

Windows Update 클라이언트가 LoLBins(living-off-the-land binaries) 공격자가 Windows 시스템에서 악성 코드를 실행하는 데 사용할 수 있는 목록에 추가되었습니다. 이러한 방식으로 로드된 유해 코드는 시스템 보호 메커니즘을 우회할 수 있습니다.

LoLBin에 익숙하지 않은 경우 Microsoft 서명 실행 파일을 다운로드하거나 번들로 제공합니다. 악성코드를 다운로드, 설치 또는 실행하는 동안 탐지를 피하기 위해 타사를 사용할 수 있는 OS 암호. Windows Update 클라이언트(wuauclt)가 그 중 하나인 것 같습니다.

이 도구는 %windir%\system32\wuauclt.exe 아래에 있으며 명령줄에서 Windows Update(일부 기능)를 제어하도록 설계되었습니다.

MDsec 연구원 데이비드 미들허스트 발견 wuauclt는 공격자가 다음 명령줄 옵션을 사용하여 특수하게 조작된 임의의 DLL에서 로드하여 Windows 10 시스템에서 악성 코드를 실행하는 데 사용할 수도 있습니다.

wuauclt.exe /UpdateDeploymentProvider [경로_to_dll] /RunHandlerComServer

Full_Path_To_DLL 부분은 첨부 시 코드를 실행하는 공격자가 특수하게 조작한 DLL 파일의 절대 경로입니다. Windows Update 클라이언트에서 실행되기 때문에 공격자가 바이러스 백신, 응용 프로그램 제어 및 디지털 인증서 유효성 검사 보호를 우회할 수 있습니다. 최악의 점은 Middlehurst도 야생에서 그것을 사용하는 샘플을 발견했다는 것입니다.

Microsoft Defender에 인터넷에서 모든 파일 다운로드 보안 검사를 우회합니다. 운 좋게도 Windows Defender Antimalware Client 버전 4.18.2009.2-0부터 Microsoft는 앱에서 해당 옵션을 제거했으며 더 이상 자동 파일 다운로드에 사용할 수 없습니다.

원천: 삐삐 컴퓨터