Windows Defender se naboural, aby nasadil tento nebezpečný ransomware

Zranitelnosti Log4j se nyní používají k nasazení majáků Cobalt Strike prostřednictvím nástroje příkazového řádku Windows Defender, zjistili výzkumníci.

Výzkumníci v oblasti kybernetické bezpečnosti ze Sentinel Labs nedávno objevili novou metodu, kterou používá neznámý aktér ohrožení, přičemž konečnou hrou je nasazení ransomwaru LockBit 3.0.

Funguje to takto: aktér hrozby využije log4shell (jak se Log4j zero-day nazývá) k získání přístupu k cílovému koncovému bodu a získání nezbytných uživatelských oprávnění. Jakmile to bude z cesty, použili PowerShell ke stažení tří samostatných souborů: soubor nástroje Windows CL (čistý), soubor DLL (mpclient.dll) a soubor LOG (skutečný maják Cobalt Strike).

Boční plnění Cobalt Strike

Poté by spustili MpCmdRun.exe, nástroj příkazového řádku, který provádí různé úkoly pro Microsoft Defender. Tento program obvykle načte legitimní soubor DLL – mpclient.dll, který potřebuje ke správnému spuštění. Ale v tomto případě by program načetl škodlivou knihovnu DLL se stejným názvem, staženou společně s programem.

Tato knihovna DLL načte soubor LOG a dešifruje zašifrovaný obsah Cobalt Strike.

Je to metoda známá jako boční načítání.

Obvykle tato pobočka LockBit používala nástroje příkazového řádku VMware k bočnímu načítání majáků Cobalt Strike, BleepingComputer říká, takže přechod na Windows Defender je poněkud neobvyklý. Publikace spekuluje, že změna byla provedena s cílem obejít cílené ochrany, které VMware nedávno představil. Přesto pomocí nástrojů žijících mimo pevninu, abychom se vyhnuli detekci antivirem (otevře se na nové kartě) nebo malware (otevře se na nové kartě) Ochranné služby jsou v dnešní době „extrémně běžné“, uzavírá publikace a vyzývá podniky, aby zkontrolovaly své bezpečnostní kontroly a byly ostražité při sledování toho, jak jsou (zne)užívány legitimní spustitelné soubory.

I když je Cobalt Strike legitimní nástroj používaný k penetračnímu testování, stal se neblaze proslulým, protože je všude zneužíván aktéry hrozeb. Dodává se s rozsáhlým seznamem funkcí, které mohou kybernetičtí zločinci použít k zmapování cílové sítě, nedetekované a laterálnímu pohybu napříč koncovými body, když se připravují na krádež dat a nasazení ransomwaru.

Ulice: BleepingComputer (otevře se na nové kartě)

Zdroj