Microsoft veröffentlichte Liste der gefährlichen legitime Anwendungen

Microsoft zusammengesetzt und veröffentlichte eine Liste legitimer Anwendungen, die Sicherheit von Angreifern zum Umgehen Regeln Windows Defender verwendet werden können,.

Corporation notifies that attackers can penetrate organization’s network by using this legitimate programs. Microsoft refers to a special method that use cybercriminals – Living off. Living off suggests exploitation of OS functions or legitimate administrating tools in compromising corporate network.

Due to application of quite harmless tools attackers can often avoid detection by different antivirus decisions.

Hence Microsoft recommends creation of special rule that blocks certain legitimate applications.

“Unless your use scenarios explicitly require them, Microsoft recommends that you block the following applications”, — advice in Microsoft

List of applications:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe

[1] — A vulnerability in bginfo.exe has been fixed in the latest version 4.22. If you use BGInfo, for security, make sure to download and run the latest version here BGInfo 4.22. Note that BGInfo versions earlier than 4.22 are still vulnerable and should be blocked.

[2] — If you are using your reference system in a development context and use msbuild.exe to build managed applications, we recommend that you whitelist msbuild.exe in your code integrity policies. jedoch, if your reference system is an end user device that is not being used in a development context, we recommend that you block msbuild.exe.

“These applications and files can be used by attackers for bypassing of protective measures, Zum Beispiel, rule white applications list. Im Speziellen, attackers can bypass Windows Defender Application Control protection», — warns Microsoft.

Quelle: https://docs.microsoft.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort