Jak niepostrzeżenie pobrać wirusa? Najlepiej sprawdzi się... Windows Defender!

Okazuje się, że silnik antywirusowy Windows Defender, będący składnikiem Windows 10, wzbogacił się niedawno o pewną trudną do uzasadnienia funkcję. Z powodów, które mają sens chyba tylko w umyśle pomysłodawcy, główne narzędzie wykonawcze Microsoft Malware Protection Engine potrafi teraz pobierać pliki. Nie potrzebuje w tym celu procesów pomocniczych i całość pracy wykonuje samodzielnie, jako MpCmdRun.exe.

Nową funkcjonalność odkrył Mohammad Askar, a odkrycie to prędko znalazło uznanie wśród badaczy bezpieczeństwa. Jest bowiem wysoce niepożądane, by silnik antywirusowy potrafił pobierać pliki. Nie chodzi tu o to, że Defender nie wykryje złośliwego pliku który sam sobą pobierze. Jeżeli jest zaopatrzony w odpowiednie definicje, znajdzie go i usunie natychmiast po pobraniu.

Kłopot jest tu taki sam, jak w przypadku DNS-over-HTTPS: działalność silnika antywirusowego nie jest uznawana za niebezpieczną i jest pomijana w logach audytowych zbierających informacje o uruchamianych procesach. Dotychczas informacje o MpCmdRun.exe można było uznawać za szum, ponieważ jest to podpisana, zaufana aplikacja Microsoftu. Jeżeli ktoś uruchomił skaner, to nie szkodzi. Nie jest to proces, którego powstaniem należy się przejmować.

Gorzej, jeżeli powstanie procesu MpCmdRun.exe wcale nie wynika z uruchomienia skanera, a jest działaniem wirusa (na którego nie ma jeszcze definicji) pobierającego swój komponent. Taki sposób pobierania zostanie zalogowany, ale i z dużą szansą – zignorowany. Bo przecież działalność Defendera nie jest podejrzaną aktywnością. Co innego pobieranie za pomocą PowerShella lub narzędzia weryfikacji certyfikatów...

Nie jest jasne, jaki problem Microsoft próbował rozwiązać, dołączając taką opcję do Defendera. Być może była to chęć dostarczenia "uniwersalnego skanera", pozwalajacego także na skanowanie zdalnych plików. Zdecydowanie wywołuje to więcej szkody niż pożytku i o wiele więcej sensu była opcja uploadu próbki do Chmury MAPS (lub wręcz do VirusTotal!), zamiast downloadu dowolnego śmiecia.[img=dl]Feralna opcja nie jest obecna w domyślnej wersji silnika Malware Protection Engine dostarczanej z systemem, a jedynie w tych najnowszych. W przypadku stosowania silników antywirusowych innych firm, platforma Defendera (updateplatform.exe) jest aktualizowana rzadziej. Czas pokaże, czy Microsoft się opamięta, czy może parametr -DownloadFile pozostanie już w Defenderze na zawsze.