Windows Defender hackede for at implementere denne farlige ransomware

Log4j-sårbarheder bliver nu brugt til at implementere Cobalt Strike-beacons gennem Windows Defender-kommandolinjeværktøjet, har forskere fundet.

Cybersikkerhedsforskere fra Sentinel Labs opdagede for nylig en ny metode, anvendt af en ukendt trusselsaktør, hvor slutspillet var implementeringen af LockBit 3.0 ransomware.

Det fungerer sådan her: trusselsaktøren vil udnytte log4shell (som Log4j zero-day er døbt) for at få adgang til et målendepunkt og opnå de nødvendige brugerrettigheder. Når det er af vejen, ville de bruge PowerShell til at downloade tre separate filer: en Windows CL-hjælpefil (ren), en DLL-fil (mpclient.dll) og en LOG-fil (det faktiske Cobalt Strike-beacon).

Sidebelastende Cobalt Strike

De ville derefter køre MpCmdRun.exe, et kommandolinjeværktøj, der udfører forskellige opgaver for Microsoft Defender. Dette program vil normalt indlæse en legitim DLL-fil – mpclient.dll, som den skal bruge for at køre korrekt. Men i dette tilfælde vil programmet indlæse en ondsindet DLL af samme navn, downloadet sammen med programmet.

Denne DLL vil have LOG-filen indlæst og dekryptere en krypteret Cobalt Strike-nyttelast.

Det er en metode kendt som side-loading.

Normalt brugte denne LockBit-affilierede VMwares kommandolinjeværktøjer til at sideindlæse Cobalt Strike-beacons, BleepingComputer siger, så skiftet til Windows Defender er noget usædvanligt. Publikationen spekulerer i, at ændringen blev foretaget for at omgå målrettet beskyttelse, som VMware for nylig introducerede. Stadig ved at bruge værktøjer, der bor uden for landet, for at undgå at blive opdaget af antivirus (åbner i ny fane) eller malware (åbner i ny fane) beskyttelsestjenester er "ekstremt almindeligt" i disse dage, konkluderer publikationen, og opfordrer virksomheder til at kontrollere deres sikkerhedskontrol og være på vagt med at spore, hvordan legitime eksekverbare filer (mis)bruges.

Selvom Cobalt Strike er et legitimt værktøj, der bruges til penetrationstest, er det blevet ret berygtet, da det bliver misbrugt af trusselsaktører overalt. Den leveres med en omfattende liste over funktioner, som cyberkriminelle kan bruge til at kortlægge målnetværket, uopdaget, og bevæge sig sideværts på tværs af endepunkter, mens de forbereder sig på at stjæle data og implementere ransomware.

via: BleepingComputer (åbner i ny fane)

Kilde

Forrige indlæg

Næste post

Windows Defender hackede for at implementere denne farlige ransomware

Must-have software i 2024

Topkategorier

Seneste anmeldelser

Samsung Galaxy Z Flip 5 Teaser-video, forud for Galaxy Unpacked Event, viser nyt hængseldesign, farvemuligheder

Twitter begrænser antallet af DM'er, ubekræftede brugere kan sende

Min yndlings Android-telefon kan gøre ting, som min iPhone 14 Pro Max ikke kan

ChatGPT til Android lanceres i næste uge, og du kan forhåndsregistrere dig nu

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A med Google TV, 20W højttalere lanceret i Indien: : Pris, specifikationer

Dette spiselige batteri kan drive verden af diagnostik og bæredygtig energi

Windows Defender hackede for at implementere denne farlige ransomware

Must-have software i 2024

Topkategorier

Seneste anmeldelser

Samsung Galaxy Z Flip 5 Teaser-video, forud for Galaxy Unpacked Event, viser nyt hængseldesign, farvemuligheder

Twitter begrænser antallet af DM'er, ubekræftede brugere kan sende

Min yndlings Android-telefon kan gøre ting, som min iPhone 14 Pro Max ikke kan

ChatGPT til Android lanceres i næste uge, og du kan forhåndsregistrere dig nu

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A med Google TV, 20W højttalere lanceret i Indien: : Pris, specifikationer

Dette spiselige batteri kan drive verden af ​​diagnostik og bæredygtig energi

Dette spiselige batteri kan drive verden af diagnostik og bæredygtig energi