lista de aplicativos legítimos perigosas Microsoft publicou

Microsoft compôs e publicou uma lista de aplicações legítimas que podem ser usadas por atacantes para contornar as regras de segurança do Windows Defender.

Corporation notifica que os atacantes podem penetrar a rede da organização usando este programas legítimos. Microsoft refere-se a um método especial que usar os cibercriminosos - Vivendo fora. Vivendo fora sugere a exploração das funções do sistema operacional ou ferramentas de administração legítimos em comprometer rede corporativa.

Devido à aplicação de ferramentas de atacantes bastante inofensivos muitas vezes pode evitar a detecção por antivírus decisões diferentes.

Daí a Microsoft recomenda criação de regra especial que bloqueia certos aplicativos legítimos.

“A menos que seus cenários de uso requerem explicitamente, Microsoft recomenda que você bloquear as seguintes aplicações”, - aconselhamento na Microsoft

Lista de aplicações:

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • BGInfo.exe[1]
  • cDB.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • MSBuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • Wmic.exe

[1] - Uma vulnerabilidade no BGInfo.exe foi corrigido na versão mais recente 4.22. Se você usar BGInfo, para segurança, certifique-se de baixar e executar a última versão aqui BGInfo 4.22. Note que as versões mais cedo do que BgInfo 4.22 ainda são vulneráveis ​​e devem ser bloqueadas.

[2] - Se você estiver usando o seu sistema de referência num contexto de desenvolvimento e utilizar MSBuild.exe para construir aplicativos gerenciados, recomendamos que você whitelist MSBuild.exe em suas políticas de integridade do código. Contudo, se o seu sistema de referência é um dispositivo do usuário final que não está sendo usado em um contexto de desenvolvimento, recomendamos que você bloquear MSBuild.exe.

“Esses aplicativos e arquivos podem ser usados ​​por atacantes para contornar de medidas de protecção, Por exemplo, governar lista de aplicativos branco. Em particular, atacantes podem ignorar a proteção de Controle de Aplicativos Windows Defender », - adverte Microsoft.

Fonte: https://docs.microsoft.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixe uma resposta