Microsoft compuesto y publicado una lista de las aplicaciones legítimas que pueden ser utilizados por los atacantes para eludir las normas de seguridad de Windows Defender.
doorporation notifica que los atacantes pueden penetrar en la red de la organización mediante el uso de estos programas legítimos. Microsoft se refiere a un método especial que utilizan los cibercriminales - Viviendo de. Sugiere que vive de la explotación de las funciones del sistema operativo o herramientas legítimas Administradoras de comprometer la red corporativa.Debido a la aplicación de herramientas de atacantes bastante inofensivos a menudo puede evitar la detección por diferentes decisiones antivirus.
Por lo tanto, Microsoft recomienda la creación de la regla especial que bloquea ciertas aplicaciones legítimas.
“A menos que sus escenarios de uso que requieren explícitamente, Microsoft recomienda bloquear las siguientes aplicaciones”, - asesoramiento en Microsoft
- addinprocess.exe
- addinprocess32.exe
- addinutil.exe
- bash.exe
- BGInfo.exe[1]
- cdb.exe
- csi.exe
- Dbghost.exe
- DbgSvc.exe
- dnx.exe
- fsi.exe
- fsiAnyCpu.exe
- KD.exe
- ntkd.exe
- lxssmanager.dll
- msbuild.exe[2]
- mshta.exe
- ntsd.exe
- rcsi.exe
- system.management.automation.dll
- windbg.exe
- wmic.exe
[1] - Una vulnerabilidad en BGInfo.exe se ha corregido en la versión más reciente 4.22. Si utiliza BGInfo, por seguridad, asegúrese de descargar y ejecutar la versión más reciente aquí BGInfo 4.22. Tenga en cuenta que las versiones anteriores a BGInfo 4.22 siguen siendo vulnerables y deben ser bloqueados.
[2] - Si está utilizando su sistema de referencia en un contexto de desarrollo y el uso de msbuild.exe a crear aplicaciones gestionadas, se recomienda que la lista blanca msbuild.exe en sus políticas de integridad de código. sin embargo, si su sistema de referencia es un dispositivo de usuario final que no está siendo utilizado en un contexto de desarrollo, nos recomienda bloquear msbuild.exe.
“Estas aplicaciones y archivos pueden ser utilizados por los atacantes para eludir las medidas de protección, Por ejemplo, regla de lista blanca de aplicaciones. En particular, los atacantes pueden eludir la protección de control de aplicaciones Windows Defender », - advierte Microsoft.
Fuente: https://docs.microsoft.com
