Een nieuwe functie van Windows Defender baart beveiligingsonderzoekers zorgen

Wat u moet weten

Een LoLBin is een binair bestand dat door het besturingssysteem wordt geleverd en dat normaal gesproken voor legitieme doeleinden wordt gebruikt, maar ook kan worden misbruikt door kwaadwillende actoren. Verschillende standaard systeem binaire bestanden hebben onverwachte bijwerkingen, waardoor aanvallers hun activiteiten na uitbuiting kunnen verbergen.

In één van de laatste updates van de Microsoft Defender-antivirusoplossing van Windows 10 stelt het ironisch genoeg in staat om malware en andere bestanden naar een Windows-computer te downloaden.

Legitieme besturingssysteembestanden die voor kwaadwillende doeleinden kunnen worden misbruikt, staan ​​bekend als binaire bestanden van het land of LOLBINS.

In deze update van Microsoft Defender is de opdrachtregelprogramma MpCmdRun.exe bijgewerkt met de mogelijkheid om bestanden te downloaden vanaf een externe locatie, die door aanvallers kunnen worden misbruikt.

Wat is MpCmdRun.exe?

Het echte MpCmdRun.exe- bestand is een softwarecomponent van Microsoft Malware Protection door Microsoft Corporatie . “MpCmdRun.exe” is het Microsoft Malware Protection Command Line Utility. Onder beheerdersrechten, het stelt command-line, parameter gecontroleerde aanroeping van de aldaar gevestigde Microsoft antimalware product van de computer (Windows Defender, Microsoft Security Client of Microsoft Security Essentials). 

Door middel van scripts of door directe opdrachtprompt van de console kan alles, van een enkel bestand tot het hele systeem, worden gescand, met herstelmaatregelen inbegrepen of uitgeschakeld. Het bevindt zich in “C: \ Program Files \ …\ MpCmdRun.exe, “(soms met een extra laatste sub-map genaamd” Anti-malware “), en kan niet worden verwijderd zonder het volledige antimalware product te verwijderen. Het bestond van Windows XP tot en met Windows 10. Sommige Microsoft-documentatie suggereert dat het automatisch uitschakelen van MSE of Windows Defender real-time bescherming wanneer antimalware van derden is geïnstalleerd, verhindert MpCmdRun.exe mogelijk niet om scans te starten. Microsoft Corporatie is in 2016 gerangschikt (naar omzet) als ’s werelds grootste softwaremaker, het werd in april 1975 opgericht door twee mannen, Paul Allen en Bill Gates.

MpCmdRun staat voor Microsoft M alware P rotection C o m man d – Run Utility

De .exe-extensie op een bestandsnaam geeft een exe- bestand aan dat kan worden geknipt. Uitvoerbare bestanden kunnen in sommige gevallen uw computer beschadigen. Lees daarom hieronder om zelf te beslissen of de MpCmdRun.exe op uw computer een Trojaans paard is dat u moet verwijderen of dat het een bestand is dat behoort tot het Windows- besturingssysteem of tot een vertrouwde applicatie.

Met deze nieuwe functie maakt Microsoft Defender nu deel uit van de lange lijst met Windows-programma’s die kunnen worden misbruikt door lokale aanvallers.

Microsoft Defender kan worden gebruikt als een LOLBIN

Ontdekt door een beveiligingsonderzoeker genaamd Mohammad Askar, bevat een recente update van de opdrachtregel hulpprogramma van Microsoft Defender nu een nieuw DownloadFileopdrachtregelargument.

Met deze instructie kan een lokale gebruiker het Microsoft Antimalware Service Command Line Utility (MpCmdRun.exe) gebruiken om een ​​bestand van een externe locatie te downloaden met behulp van de volgende opdracht:

MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

Windows Defender heeft een nieuwe functie toegevoegd en beveiligingsonderzoekers zijn daar niet zo blij mee, aangezien het het aanvalsoppervlak van Windows heeft vergroot.

Versie 4.18.2007.9 of 4.18.2009.9 van de app heeft de mogelijkheid toegevoegd om bestanden te downloaden via de opdrachtregel met behulp van de app, bijv.

MpCmdRun.exe -DownloadFile -url [url] -pad [pad_naar_save_file]

Het kan nu worden gebruikt om een ​​binair bestand van internet te downloaden.

Bron: bleepingcomputer.com

Hoewel het op zichzelf geen exploit is, staat de functie een script toe dat de opdrachtregel kan starten om meer bestanden van internet te halen met behulp van native zogenaamde living-off-the-land binaries of LOLBINS.

Het toevoegen van de functie aan Windows Defender betekent dat er nog een app-beheerder in de gaten moet worden gehouden en een andere app die hackers kunnen misbruiken.

Gelukkig scant Windows Defender nog steeds de apps die het downloadt, maar dit is zeker niet onfeilbaar.

Basisbeginselen van de opdrachtprompt: het starten en stoppen van processen

Programma’s uitvoeren en stoppen in de opdrachtprompt

  • Gebruik start notepad.exe om een ​​programma te starten.
  • Gebruik taskkill /F /IM “notepad.exe” /T om een ​​programma te doden.

Geldt voor alle Windows 10-versies

Het gebruik van de opdrachtprompt kan een snelle manier zijn om programma’s te starten, met name Windows beheerprogramma’s die lastig te vinden zijn via zoeken. We zullen enkele basisprocedures bekijken voor het werken met programma’s en processen.

  • Programma’s starten
  • Om een ​​programma vanaf de opdrachtprompt te starten, typt u eenvoudig de naam:
Notepad

Hiermee wordt een nieuwe Kladblok-instantie gestart. Het voorbeeld werkt omdat Windows al weet waar Kladblok is. Command Prompt doorzoekt automatisch de werkdirectory het pad dat aan het begin van de prompt regel wordt getoond in de Windows systeemmappen wanneer u een programma op deze manier uitvoert.

Type C:\Windows\System32\notepad en kladblok opent.

Als het uitvoerbare bestand zich ergens anders bevindt, moet u het volledige pad opgeven

C:\Windows\System32\notepad  

in dit voorbeeld.

  • Een alternatieve manier om programma’s te starten is via de start opdracht:
start notepad
Kladblok wordt gestart.

Dit heeft hetzelfde effect als het bovenstaande voorbeeld. Het startmechanisme is echter iets anders: de opdrachtprompt wordt overgedragen aan Windows zelf, die ervoor zorgt dat het juiste programma wordt gevonden. Er zullen meer locaties worden doorzocht, inclusief de volledige inhoud van de PATH omgevingsvariabele en ‘app-pad’-snelkoppelingen die zijn gedefinieerd in het register (een manier om lange uitvoerbare paden in te korten met aliassen.

Commando’s koppelen

U kunt opdrachten koppelen door ze te combineren met een & teken:

dir & notepad

Dit zal de inhoud van uw werkmap in de terminal weergeven en vervolgens Kladblok openen.

Een variatie kan worden bereikt door in && plaats daarvan:

dir && notepad

In dit formulier wordt het tweede commando alleen uitgevoerd als het eerste succesvol wordt uitgevoerd. Als er een fout zou zijn opgetreden bij het vermelden van uw directory inhoud, zou Kladblok niet openen.

Opmerking: u kunt het omgekeerde bereiken met || dus dir || notepad zou Kladblok alleen worden uitgevoerd als de dir opdracht is mislukt.

Processen beëindigen

U kunt ook de opdrachtprompt gebruiken om processen te beëindigen. Dit is ideaal wanneer u een programma moet beëindigen maar u heeft geen muis bij de hand, of Taakbeheer reageert niet

taskkill /F /IM "notepad.exe" /T

De bovenstaande opdracht zal elk actief exemplaar van Kladblok onmiddellijk beëindigen. Vervang notepad.exe in de naam van het programma dat u wilt beëindigen. U kunt deze informatie verkrijgen door de taaklijst (tasklist) te starten om te zien welke processen momenteel actief zijn.

Bescherm uw back-up bestanden tegen ransomware

Ransomware versleutelt heimelijk bestanden van gebruikers en eist dan betaling voor de sleutel voor de ontsleuteling. Hier is hoe u ervoor te zorgt dat de back-up bestanden veilig blijven, als een infectie uw PC overneemt.

Verder: Een “Windows Hallo” biometrische / vingerafdruk log-in systeem valt uit na een Windows10 upgrade en bijgewerkt suggesties voor Windows10 bestandsbeheer.

Houdt de ransomware uit uw back-up bestanden

De recente krantenkoppen benadrukken succesvol ransomware aanvallen op bedrijven en particulieren, dus is er een goede reden om u zorgen te maken over uw gegevens. De beste manier om snel te herstellen en om te voorkomen dat u losgeld moet betalen is om schone back-up te hebben van uw gegevens en deze goed te bewaren. Lezer Kees wil ervoor zorgen dat zijn back-ups veilig zijn.

“Ik ben bang voor ransomware, dus ik ben op zoek naar een manier om mijn back-ups te beschermen tegen infectie.
“Mijn back-ups worden opgeslagen op een op een USB schijf die actief is aangesloten op mijn PC en slechts een keer per week, maakt mijn systeem een nieuwe back-up”.

“Ik gebruik Acronis True Image, dat geeft mijn back-up bestanden de naam backup.tib”.
“Omdat ransomware naar gegevens zoekt om bestanden te coderen, maar verder het systeem laat draaien, denk ik dat de bestandsnaam wijzigen van mijn back-up bestanden backup.exe veilig moet maken”.

“Is dit een goed idee?”

Het vermommen uw back-ups door de bestandsnaam te wijzigen lijkt een goed plan, maar wij denken niet dat het zal leiden tot een zinvolle, extra bescherming.

Hoewel deze aanpak eenvoudige malware misschien gek voor de gek houdt, zal goed gecodeerd exploits de bestanden die ze zoeken toch wel weten te vinden. Het is kinderlijk eenvoudig om de malware niet naar bestandsnamen of file-extensies te laten kijken maar ze kijken wat er werkelijk binnen in het bestand zit.

Hetzelfde geldt voor een slimme klinkende truc: het plaatsen van databestanden op afwijkende locaties. Maar, nogmaals, dat zou dwaas zijn en alleen werken met de meest eenvoudige vormen van kwaadaardige code.

Of wel, eenvoudige trucs van dat soort kunnen u gewoon niet beschermen.
Maar er is een extra stap die kan helpen ervoor te zorgen dat er geen malware van welk type dan ook wordt opgeslagen in één van uw back-ups.

De back-up methode die gebruikt wordt door Kees is al heel veilig. De enige keer dat de back-up bestanden kwetsbaar zijn voor nieuwe infectie is gedurende de, relatief korte tijd, dat de drive actief is wanneer het online is en aangesloten is op de Windows-pc. Als de drive is losgekoppeld en offline is, zijn de bestanden volledig veilig.

Maar voor de maximale veiligheid, doe dan dit: alvorens de back-up schijf online te brengen en de back-up uit te voeren, scan dan eerst uw systeem grondig met goede anti-malware software. In het ideale geval gebruik dan een scanner die op dat moment nog niet geïnstalleerd is op uw systeem. Gebruik van een scanner van een ander merk zal helpen met het vangen van eventuele infecties die langs uw primaire malwareverdediging zouden kunnen zijn gekomen.

Bijvoorbeeld, wij gebruiken de ingebouwde Windows Defender (info) van Windows 10 en Malwarebytes Pro (site) voor de dagelijkse verdediging van onze bestanden op onze PC’s en de bestandsgeschiedenis back-ups. Maar voordat u onze maandelijkse systeem back-up (naar een andere externe back-upserver), wordt er eerst gecontroleerd of de PC écht schoon is, door te scannen met aparte antivirussoftware zoals een online scanner van Kaspersky (site).

Die extra scans zijn het belangrijkste: als u eenmaal weet dat uw pc malware /virus-vrij is, kunt u vervolgens uw USB drive aansluiten en uw back-up uit voeren, u kunt er van overtuigd zijn dat u het verspreiden van een infectie naar uw back-upbestanden tegen gaat.

Biometrische / vingerafdruk scanner werkt niet meer na upgrade

Christie probeert via de biometrische mogelijkheden in te loggen op Windows 10, ofwel “Windows Hallo” (meer info Engels) te gebruiken.

Al is het gebruik van een vingerafdruk-scanner, moeilijk kan zijn net zo goed als een gezicht- of iris herkenningsapparaat.

“Hopelijk SoftwareGeek kunt u mij uitleggen hoe ik mijn niet werkende vingerafdruk-scanner log-in proces kan oplossen. Ik heb een upgrade van Windows 8.1 naar Windows10 uitgevoerd, waardoor mijn vingerafdruk-scanner niet meer werkt. Ik kan geen bruikbare antwoorden vinden via online zoekopdrachten te. “

Zoals PC tekenpads, camera’s, microfoons, en vergelijkbare hardware, een vingerafdrukscanner is technisch gezien valt onder de soort randapparatuur, ook al is het ingebouwd in uw pc. Net als bijna alle randapparatuur, vingerafdruk scanners eisen dat hun eigen drivers compatibel moeten zijn met het huidige besturingssysteem.

Omdat uw scanner prima werkte totdat u de upgrade uitvoerde, is het probleem vrijwel zeker de oorspronkelijke drivers die niet Windows 10 compatibel zijn of zij lijden aan een soort van software ‘ongelukje’ tijdens de upgrade.

Als de scanner in uw pc is ingebouwd, een bezoek aan de site van uw PC maker is dan aan te raden voor een nieuwere versie van de driver. Download en installeer de Windows10 compatibele drivers voor uw specifieke pc en vingerafdruk scanner. Als er geen specifieke drivers beschikbaar zijn voor uw vingerafdruk scanner, installeer dan een nieuwe Windows10 compatibel moederbord, systeem, of chipset drivers.

Als u een standalone pc heeft, plug-in de vingerafdrukscanner en bezoek de website van de fabrikant voor de nieuwste specifieke drivers.

Zodra u de juiste drivers heeft geïnstalleerd, moet uw vingerafdruk scanner weer normaal werken.

Voor meer informatie, zie de WinSupersite.com artikel, “Windows Hallo en een vingerafdruk om in te loggen op Windows 10.” (Engels).

Windows 10 bestand-beheer de beste manier?

Steve is met behulp van Windows voor vele jaren. Hij vraagt ​​zich af of het tijd is om zijn jarenlange praktijk van het handmatig opzetten van zijn gebruiker bestanden op een andere partitie van het besturingssysteem bij te werken.

“Ik heb een trouwe volgeling van uw artikelen en geïnteresseerd in Windows bestand-management en methodiek.”

“In de vroege dagen van Windows, werd er gezegd dat de makkelijkste manier om schade, als gevolg van een grote Windows-systeem crash te voorkomen, was om een ​​partitie voor het besturingssysteem te maken en andere voor applicaties en andere data.”
“Later besprak men hoe een niet-destructieve herstelproces, applicaties en gegevens, intact zal houden; en er geen noodzaak was om gebruik te maken van een volledig image-herstelproces.”

“Bestandsgeschiedenis van Windows 8.1 introduceerde een nieuwe back-up proces, en Windows10 volgde.”

“Met al deze veranderingen, lijkt er niet langer een behoefte te zijn om aparte partities te maken voor het besturingssysteem en de applicaties / data. Heb ik hier gelijk in?”

Uw stelling is correct, Steve. Het is niet langer nodig om het OS en de bestanden van de gebruiker te scheiden dat is ook niet aanbevolen om dat de komende jaren te doen.

Het was logisch met de vroege versies van Windows; dat was gebouwd bovenop een DOS-fundering, deze installaties konden vrij onstabiel zijn door een 32 bit applicatie (Windows) op een 16 bit besturingssysteem (DOS). Het was niet ongebruikelijk voor een installatie van Windows om een ​​complete, volledig nieuwe installatie te moeten doen, soms wel meerdere keren per jaar! Sommige zwaar gebruikte basisinstellingen van Windows moesten zelfs verplicht volledig opnieuw en elke maand geïnstalleerd worden!

Onder die omstandigheden, was het bijhouden van uw gegevensbestanden via een aparte partitie een goede manier van werken. U kon de hele besturingssysteem bewerken zonder dat een van uw gebruikersbestanden werden verwijderd.

Maar Windows is gestaag verbeterd, versie na versie. Tegen de tijd dat Windows 7 het daglicht zag, was het besturingssysteem een solide werkpaard geworden. Met een goede onderhoud routine, kan een Windows 7 installatie voor langere tijd mee gaan, voor jaren, zelfs, zonder dat er een installatie van Windows, opnieuw gestart moet worden.

En zoals Steve al heeft opgemerkt, wanneer Windows 7 een herinstallatie nodig heeft, kan een vaardig Windows gebruiker een niet-destructieve installatie starten die bestanden en reeds geïnstalleerde software op hun plaats uitvoert.

Met meer stabiliteit en de niet-destructieve reparatie, is de hele reden voor het scheiden van het besturingssysteem en de gebruiker bestanden min of meer verdwenen.

Windows 8.1 en Windows 10 hebben een geautomatiseerde, niet-destructieve herinstallatie optie ingebouwd in het besturingssysteem dat slechts een muisklik verwijderd is.

En, zowel Windows 8.1 als Windows 10 zorgen voor automatische, ultra-veilige, redundant gebruikersbestanden back-ups in Bestandsgeschiedenis en Microsoft Onedrive.

Het plaatsen van al uw bestanden in hun standaardlocatie helpt ook om ervoor te zorgen dat steeds meer geautomatiseerde zelfbehoud en herstel systemen van Windows kunnen werken zoals de bedoeling is, als achtergrond processen die weinig geheugen en geen tussenkomst van de gebruiker nodig hebben.

In het kort: Hoewel u nog steeds het besturingssysteem en uw bestanden van gebruikers in Windows kunt scheiden, is er geen echte reden meer om dit te doen.

Pin It on Pinterest