Microsoft Defender可被用來下載惡意程式

微軟Microsoft Defender功能是協助防範惡意程式在終端裝置上執行，但卻有人發現，它也可以被用來下載惡意程式。

最新版Microsoft Defender的指令行工具MpCmdRun.exe做了更新，可讓使用者從遠端下載檔案。但一名電腦玩家暨安全研究人員Mohammad Askar發現，MpCmdRun.exe可加入-DownloadFile的新引數（argument），讓用戶可以透過以下指令，從遠端網站下載任何檔案，包括惡意程式：MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]

他還示範了以此指令從遠端網站下載Cobalt Strike Beacon木馬程式。

惡意程式利用機器上的合法程式為掩護執行的手法，被稱為離地攻擊二進位檔（living-off-the-land binaries，LoLBin）是現今新興的駭客手法，一些Windows合法行程如msiexec.exe、unzip.exe、rundll32.exe、schtasks.exe和powershell.exe都相繼被用來執行惡意程式。這項指令的濫用也可視為一種LoLBin攻擊。

根據Bleeping Computer測試，4.18.2007.9 或4.18.2009.9版Microsoft/Windows Defender都加入這項功能。

所幸這項發現暫時不會影響Defender用戶。Askar說這個指令僅能下載檔案。此外，如果微軟後端病毒特徵狀已經有此惡意程式的特徵，則Microsoft Defender還是能及時攔阻不讓它執行