Microsoft compôs e publicou uma lista de aplicações legítimas que podem ser usadas por atacantes para contornar as regras de segurança do Windows Defender.
Corporation notifica que os atacantes podem penetrar a rede da organização usando este programas legítimos. Microsoft refere-se a um método especial que usar os cibercriminosos - Vivendo fora. Vivendo fora sugere a exploração das funções do sistema operacional ou ferramentas de administração legítimos em comprometer rede corporativa.Devido à aplicação de ferramentas de atacantes bastante inofensivos muitas vezes pode evitar a detecção por antivírus decisões diferentes.
Daí a Microsoft recomenda criação de regra especial que bloqueia certos aplicativos legítimos.
“A menos que seus cenários de uso requerem explicitamente, Microsoft recomenda que você bloquear as seguintes aplicações”, - aconselhamento na Microsoft
- addinprocess.exe
- addinprocess32.exe
- addinutil.exe
- bash.exe
- BGInfo.exe[1]
- cDB.exe
- csi.exe
- dbghost.exe
- dbgsvc.exe
- dnx.exe
- fsi.exe
- fsiAnyCpu.exe
- kd.exe
- ntkd.exe
- lxssmanager.dll
- MSBuild.exe[2]
- mshta.exe
- ntsd.exe
- rcsi.exe
- system.management.automation.dll
- windbg.exe
- Wmic.exe
[1] - Uma vulnerabilidade no BGInfo.exe foi corrigido na versão mais recente 4.22. Se você usar BGInfo, para segurança, certifique-se de baixar e executar a última versão aqui BGInfo 4.22. Note que as versões mais cedo do que BgInfo 4.22 ainda são vulneráveis e devem ser bloqueadas.
[2] - Se você estiver usando o seu sistema de referência num contexto de desenvolvimento e utilizar MSBuild.exe para construir aplicativos gerenciados, recomendamos que você whitelist MSBuild.exe em suas políticas de integridade do código. Contudo, se o seu sistema de referência é um dispositivo do usuário final que não está sendo usado em um contexto de desenvolvimento, recomendamos que você bloquear MSBuild.exe.
“Esses aplicativos e arquivos podem ser usados por atacantes para contornar de medidas de protecção, Por exemplo, governar lista de aplicativos branco. Em particular, atacantes podem ignorar a proteção de Controle de Aplicativos Windows Defender », - adverte Microsoft.
Fonte: https://docs.microsoft.com