Log4j-Schwachstellen werden jetzt verwendet, um Cobalt Strike-Beacons über das Windows Defender-Befehlszeilentool bereitzustellen, haben Forscher herausgefunden.
Cybersicherheitsforscher von Sentinel Labs haben kürzlich eine neue Methode entdeckt, die von einem unbekannten Bedrohungsakteur eingesetzt wird, wobei das Endspiel die Bereitstellung von LockBit 3.0 Ransomware ist.
Es funktioniert so: Der Angreifer würde log4shell (wie Log4j Zero-Day genannt wird) nutzen, um Zugriff auf einen Zielendpunkt zu erhalten und die erforderlichen Benutzerrechte zu erhalten. Sobald dies aus dem Weg geräumt ist, würden sie PowerShell verwenden, um drei separate Dateien herunterzuladen: eine Windows CL-Dienstprogrammdatei (sauber), eine DLL-Datei (mpclient.dll) und eine LOG-Datei (das eigentliche Cobalt Strike-Beacon).
Cobalt Strike mit seitlicher Ladung
Sie würden dann MpCmdRun.exe ausführen, ein Befehlszeilendienstprogramm, das verschiedene Aufgaben für Microsoft Defender ausführt. Dieses Programm lädt normalerweise eine legitime DLL-Datei – mpclient.dll, die es benötigt, um korrekt ausgeführt zu werden. Aber in diesem Fall würde das Programm eine bösartige DLL mit demselben Namen laden, die zusammen mit dem Programm heruntergeladen wird.
Diese DLL lädt die LOG-Datei und entschlüsselt eine verschlüsselte Cobalt Strike-Nutzlast.
Es ist eine Methode, die als Side-Loading bekannt ist.
Normalerweise verwendete dieses LockBit-Tochterunternehmen die Befehlszeilentools von VMware, um Cobalt Strike-Beacons von der Seite zu laden. PiependerComputer sagt, der Umstieg auf den Windows Defender sei also etwas ungewöhnlich. Die Veröffentlichung spekuliert, dass die Änderung vorgenommen wurde, um gezielte Schutzmaßnahmen zu umgehen, die VMware kürzlich eingeführt hat. Verwenden Sie jedoch Tools, die vom Land leben, um der Erkennung durch Antivirenprogramme zu entgehen (öffnet in neuem Tab) oder Malware (öffnet in neuem Tab) Sicherheitsdienste sind heutzutage „extrem üblich“, schließt die Veröffentlichung und fordert Unternehmen auf, ihre Sicherheitskontrollen zu überprüfen und wachsam zu sein, wenn es darum geht, zu verfolgen, wie legitime ausführbare Dateien (missbraucht) werden.
Obwohl Cobalt Strike ein legitimes Tool ist, das für Penetrationstests verwendet wird, ist es ziemlich berüchtigt geworden, da es überall von Bedrohungsakteuren missbraucht wird. Es enthält eine umfangreiche Liste von Funktionen, die Cyberkriminelle verwenden können, um das Zielnetzwerk unentdeckt zu kartieren und sich seitlich über Endpunkte hinweg zu bewegen, während sie sich darauf vorbereiten, Daten zu stehlen und Ransomware einzusetzen.
Via: PiependerComputer (öffnet in neuem Tab)