Log4j-sårbarheder bliver nu brugt til at implementere Cobalt Strike-beacons gennem Windows Defender-kommandolinjeværktøjet, har forskere fundet.
Cybersikkerhedsforskere fra Sentinel Labs opdagede for nylig en ny metode, anvendt af en ukendt trusselsaktør, hvor slutspillet var implementeringen af LockBit 3.0 ransomware.
Det fungerer sådan her: trusselsaktøren vil udnytte log4shell (som Log4j zero-day er døbt) for at få adgang til et målendepunkt og opnå de nødvendige brugerrettigheder. Når det er af vejen, ville de bruge PowerShell til at downloade tre separate filer: en Windows CL-hjælpefil (ren), en DLL-fil (mpclient.dll) og en LOG-fil (det faktiske Cobalt Strike-beacon).
Sidebelastende Cobalt Strike
De ville derefter køre MpCmdRun.exe, et kommandolinjeværktøj, der udfører forskellige opgaver for Microsoft Defender. Dette program vil normalt indlæse en legitim DLL-fil – mpclient.dll, som den skal bruge for at køre korrekt. Men i dette tilfælde vil programmet indlæse en ondsindet DLL af samme navn, downloadet sammen med programmet.
Denne DLL vil have LOG-filen indlæst og dekryptere en krypteret Cobalt Strike-nyttelast.
Det er en metode kendt som side-loading.
Normalt brugte denne LockBit-affilierede VMwares kommandolinjeværktøjer til at sideindlæse Cobalt Strike-beacons, BleepingComputer siger, så skiftet til Windows Defender er noget usædvanligt. Publikationen spekulerer i, at ændringen blev foretaget for at omgå målrettet beskyttelse, som VMware for nylig introducerede. Stadig ved at bruge værktøjer, der bor uden for landet, for at undgå at blive opdaget af antivirus (åbner i ny fane) eller malware (åbner i ny fane) beskyttelsestjenester er "ekstremt almindeligt" i disse dage, konkluderer publikationen, og opfordrer virksomheder til at kontrollere deres sikkerhedskontrol og være på vagt med at spore, hvordan legitime eksekverbare filer (mis)bruges.
Selvom Cobalt Strike er et legitimt værktøj, der bruges til penetrationstest, er det blevet ret berygtet, da det bliver misbrugt af trusselsaktører overalt. Den leveres med en omfattende liste over funktioner, som cyberkriminelle kan bruge til at kortlægge målnetværket, uopdaget, og bevæge sig sideværts på tværs af endepunkter, mens de forbereder sig på at stjæle data og implementere ransomware.
via: BleepingComputer (åbner i ny fane)