Een nieuwe functie van Windows Defender baart beveiligingsonderzoekers zorgen

Wat u moet weten

Een LoLBin is een binair bestand dat door het besturingssysteem wordt geleverd en dat normaal gesproken voor legitieme doeleinden wordt gebruikt, maar ook kan worden misbruikt door kwaadwillende actoren. Verschillende standaard systeem binaire bestanden hebben onverwachte bijwerkingen, waardoor aanvallers hun activiteiten na uitbuiting kunnen verbergen.

In één van de laatste updates van de Microsoft Defender-antivirusoplossing van Windows 10 stelt het ironisch genoeg in staat om malware en andere bestanden naar een Windows-computer te downloaden.

Legitieme besturingssysteembestanden die voor kwaadwillende doeleinden kunnen worden misbruikt, staan ​​bekend als binaire bestanden van het land of LOLBINS.

In deze update van Microsoft Defender is de opdrachtregelprogramma MpCmdRun.exe bijgewerkt met de mogelijkheid om bestanden te downloaden vanaf een externe locatie, die door aanvallers kunnen worden misbruikt.

Wat is MpCmdRun.exe?

Het echte MpCmdRun.exe- bestand is een softwarecomponent van Microsoft Malware Protection door Microsoft Corporatie . “MpCmdRun.exe” is het Microsoft Malware Protection Command Line Utility. Onder beheerdersrechten, het stelt command-line, parameter gecontroleerde aanroeping van de aldaar gevestigde Microsoft antimalware product van de computer (Windows Defender, Microsoft Security Client of Microsoft Security Essentials). 

Door middel van scripts of door directe opdrachtprompt van de console kan alles, van een enkel bestand tot het hele systeem, worden gescand, met herstelmaatregelen inbegrepen of uitgeschakeld. Het bevindt zich in “C: \ Program Files \ …\ MpCmdRun.exe, “(soms met een extra laatste sub-map genaamd” Anti-malware “), en kan niet worden verwijderd zonder het volledige antimalware product te verwijderen. Het bestond van Windows XP tot en met Windows 10. Sommige Microsoft-documentatie suggereert dat het automatisch uitschakelen van MSE of Windows Defender real-time bescherming wanneer antimalware van derden is geïnstalleerd, verhindert MpCmdRun.exe mogelijk niet om scans te starten. Microsoft Corporatie is in 2016 gerangschikt (naar omzet) als ’s werelds grootste softwaremaker, het werd in april 1975 opgericht door twee mannen, Paul Allen en Bill Gates.

MpCmdRun staat voor Microsoft M alware P rotection C o m man d – Run Utility

De .exe-extensie op een bestandsnaam geeft een exe- bestand aan dat kan worden geknipt. Uitvoerbare bestanden kunnen in sommige gevallen uw computer beschadigen. Lees daarom hieronder om zelf te beslissen of de MpCmdRun.exe op uw computer een Trojaans paard is dat u moet verwijderen of dat het een bestand is dat behoort tot het Windows- besturingssysteem of tot een vertrouwde applicatie.

Met deze nieuwe functie maakt Microsoft Defender nu deel uit van de lange lijst met Windows-programma’s die kunnen worden misbruikt door lokale aanvallers.

Microsoft Defender kan worden gebruikt als een LOLBIN

Ontdekt door een beveiligingsonderzoeker genaamd Mohammad Askar, bevat een recente update van de opdrachtregel hulpprogramma van Microsoft Defender nu een nieuw DownloadFileopdrachtregelargument.

Met deze instructie kan een lokale gebruiker het Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) gebruiken om een ​​bestand van een externe locatie te downloaden met behulp van de volgende opdracht:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Windows Defender heeft een nieuwe functie toegevoegd en beveiligingsonderzoekers zijn daar niet zo blij mee, aangezien het het aanvalsoppervlak van Windows heeft vergroot.

Versie 4.18.2007.9 of 4.18.2009.9 van de app heeft de mogelijkheid toegevoegd om bestanden te downloaden via de opdrachtregel met behulp van de app, bijv.

MpCmdRun.exe -DownloadFile -url [url] -pad [pad_naar_save_file]

Het kan nu worden gebruikt om een ​​binair bestand van internet te downloaden.

Bron: bleepingcomputer.com

Hoewel het op zichzelf geen exploit is, staat de functie een script toe dat de opdrachtregel kan starten om meer bestanden van internet te halen met behulp van native zogenaamde living-off-the-land binaries of LOLBINS.

Het toevoegen van de functie aan Windows Defender betekent dat er nog een app-beheerder in de gaten moet worden gehouden en een andere app die hackers kunnen misbruiken.

Gelukkig scant Windows Defender nog steeds de apps die het downloadt, maar dit is zeker niet onfeilbaar.

Waarschuwing voor Tycoon ransomware gericht op Windows computers

FBI Internet Crime Complaint Center (IC3) publiceerde vorig jaar het “Internet Crime Report“. Uit het rapport bleek dat cybercriminaliteit in 2019 een enorme $ 3,5 miljard (€ 3 miljard) had gekost. Aanvallers gebruiken ransomware om geld te extraheren van bedrijven en individuele gebruikers. De beveiligingsonderzoekseenheid van BlackBerry heeft onlangs een nieuwe ransomware ontdekt die een Europese onderwijsinstelling heeft getroffen. In tegenstelling tot de meeste tot nu toe ontdekte ransomware, is deze nieuwe ransomware-module gecompileerd in een Java-afbeeldingsbestandsindeling (JIMAGE). JIMAGE is een bestandsformaat dat aangepaste JRE-afbeeldingen opslaat die is ontworpen om tijdens runtime door de Java Virtual Machine (JVM) te worden gebruikt.

Zo gaat de aanval in zijn werk:

  • Om persistentie op de machine van het slachtoffer te bereiken, hadden de aanvallers een techniek gebruikt die injectie met Image File Execution Options (IFEO) wordt genoemd. IFEO-instellingen worden opgeslagen in het Windows-register. Deze instellingen geven ontwikkelaars de mogelijkheid om hun software te debuggen door de bijlage van een debugtoepassing tijdens de uitvoering van een doeltoepassing.
  • Vervolgens werd een achterdeur uitgevoerd naast de Microsoft Windows On-Screen Keyboard (OSK) -functie van het besturingssysteem.
  • De aanvallers hebben de anti-malware-oplossing van de organisatie uitgeschakeld met behulp van het ProcessHacker-hulpprogramma en de wachtwoorden voor Active Directory-servers gewijzigd. Hierdoor heeft het slachtoffer geen toegang tot zijn systemen.
  • De meeste bestanden van de aanvaller waren tijdgestempeld, inclusief de Java-bibliotheken en het uitvoeringsscript, en hadden tijdstempels van de bestandsdatum van 11 april 2020, 15:16:22
  • Ten slotte voerden de aanvallers de Java-ransomwaremodule uit, waarmee ze alle bestandsservers versleutelden, inclusief back-upsystemen die op het netwerk waren aangesloten.

Na het uitpakken van het zipbestand dat bij de ransomware hoort, zijn er drie modules in de naam van “tycoon”. Het team van Blackberry heeft deze ransomware dus als tycoon genoemd. Bekijk hieronder de losgeldbrief van tycoon.

U kunt meer details over ransomware vinden via de onderstaande link.

Wat is ransomware?

Zo vindt u het model en serienummer van de harde schijf van een pc, de firmware versie en meer met behulp van de opdrachtprompt

Jawel, u kunt het model, het serienummer en andere informatie over de harde schijf vinden zonder deze uit de pc te trekken, en in deze handleiding laten we u zien hoe u op Windows 10 werkt.

In Windows 10 kunnen er veel redenen zijn waarom u specifieke details (zoals serienummer, model, firmware versie, enz.) Over de harde schijf op uw computer moet bepalen. Wanneer u bijvoorbeeld contact moet opnemen met de technische ondersteuning om problemen op te lossen of het proces moet starten om een ​​vervanging te krijgen. U bent van plan een array te bouwen en wilt ervoor zorgen dat de nieuwe schijven van hetzelfde merk en model zijn. Of u bouwt een gedetailleerde inventaris op van uw apparaten, moet de firmware bijwerken en meer.

Natuurlijk kunt u veel van deze informatie vinden op het etiket op de schijf. Wanneer de schijf al op uw computer is geïnstalleerd, kunt u veel stappen en problemen opslaan door de benodigde gegevens op te vragen met behulp van de tool Windows Management Interface Command (wmic) met Command Prompt beschikbaar in Windows 10.

In dit Windows 10 artikel we u door de stappen om informatie te krijgen over de harde schijven (en verwisselbare schijven) die op uw apparaat zijn aangesloten. Daarnaast laten we u ook de stappen zien om de details te exporteren naar tekstbestanden die u kunt bewaren voor persoonlijke archieven of naar technische ondersteuning kunt sturen.

  • Informatie over de harde schijf controleren met de opdrachtprompt
  • Informatie over de harde schijf exporteren naar een tekstbestand met de opdrachtprompt

Informatie over de harde schijf controleren met de opdrachtprompt

Als u het serienummer van de harde schijf, het model, de firmwareversie en andere informatie wilt achterhalen, kunt u de wmic met opdrachtprompt gebruiken.

Basisinformatie harde schijf

Voer de volgende stappen uit om basisinformatie te bepalen over de harde schijf die op uw apparaat is geïnstalleerd:

  1. Klik met de rechtse muisknop op start .
  2. Zoek naar opdrachtprompt (administrator) en klik erop om de app te openen.
  3. Typ de volgende opdracht om de naam, het merk, het model en het serienummer te controleren en druk op Enter :

wmic diskdrive get model,serialNumber,size,mediaType

Nadat u de stappen hebt voltooid, retourneert de opdracht de fabrikant, het model, het serienummer, de grootte (bytes), inclusief verwisselbare schijven zoals externe harde schijven en USB-flashstations.

U kunt ook de opties “fabrikant” en “naam” toevoegen, maar deze retourneren meestal geen extra informatie die al beschikbaar is met de optie die in de bovenstaande opdracht is opgegeven.

Geavanceerde harde schijf info

Volg deze stappen als u meer geavanceerde informatie over de harde schijf nodig hebt:

  1. Open Start .
  2. Zoek naar opdrachtprompt en klik op het bovenste resultaat om de app te openen.
  3. Typ de volgende opdracht om naam, merk, model en serienummer te vermelden en druk op Enter :
wmic diskdrive get model,index,firmwareRevision,status,interfaceType,totalHeads,totalTracks,totalCylinders,totalSectors,partitions 

Nadat u de stappen hebt voltooid, voert de opdracht alle gevraagde informatie uit, opgemaakt in een gemakkelijk te verteren tabel, inclusief fabrikant, model, serienummer en fysieke locatie (poort) van alle schijven die op uw computer zijn aangesloten.

U kunt ook bepalen of harde schijven hardwareproblemen melden. De versie van de firmware die de schijf bestuurt. Het type interface dat het apparaat gebruikt om verbinding te maken met het moederbord, evenals het aantal partities en het aantal koppen, tracks, cilinders en sectoren.

Hoewel we u de stappen laten zien om specifieke informatie over de harde schijf op te vragen, kunt u de opdracht bewerken om alleen de details te vinden die u nodig hebt.

Meer opties nodig? Kijk hier is een volledige lijst.

Informatie over de harde schijf exporteren naar een tekstbestand met de opdrachtprompt

Als u de gegevens van de harde schijf wilt exporteren naar een tekstbestand dat u eenvoudig kunt delen, volgt u deze stappen:

  • Open Start .
  • Zoek naar opdrachtprompt en klik op het bovenste resultaat om de app te openen.
  • Typ de volgende opdracht om naam, merk, model en serienummer te vermelden en druk op Enter :
wmic diskdrive get model,serialNumber,index,mediaType > c:\Users\hkist\Desktop\model.TXT  
  • Dit voorbeeld exporteert de gegevens van de harde schijf naar de map van de huidige gebruiker:

wmic diskdrive get model,serialNumber,index,mediaType > C:\Users\user1\Documents\hdd-info.txt

Wijzig de locatie naar eigen goeddunken
Na bovenstaande opdracht vindt u het bestand op uw bureaublad

Nadat u de diverse stappen hebt voltooid, wordt de door u opgegeven informatie geëxporteerd naar een tekstbestand dat u vervolgens naar technische ondersteuning kunt sturen of voor uw eigen administratie kunt bewaren.

In dit artikel hebben we het over de opdrachtprompt, maar u kunt deze opdrachten ook gebruiken met behulp van PowerShell.

Zo verwijdert u Microsoft Chromium Edge als de standaard PDF-lezer in Windows 10

In juli liet Microsoft weten dat het de klassieke Edge verbergt voor gebruikers in de Release Preview als ze de nieuwe Chromium-gebaseerde Edge op hun systeem hebben geïnstalleerd.

Microsoft heeft sindsdien de verwijderingsoptie voor de stabiele build van Chromium-gebaseerde Edge uitgeschakeld en ingesteld als “Standaard PDF Reader” in Windows 10 versie 1903.

Wij bieden u een snelle methode om de standaard PDF-lezer van Microsoft Edge Stabiel te wijzigen:

1. Klik op Start, open Instellingen-app> Apps> Standaard-apps

2. Klik op “Standaard-apps kiezen op bestandstype”

3. Blader omlaag tot u “.pdf” vindt en klik op Microsoft Edge

4. Kies uit de bureaublad toepassingen die in het pop-up venster worden weergegeven, zoals Foxit Phantom PDF of Adobe Acrobat of Foxit Reader.

Pin It on Pinterest