Windows Defender wurde gehackt, um diese gefährliche Ransomware bereitzustellen

Log4j-Schwachstellen werden jetzt verwendet, um Cobalt Strike-Beacons über das Windows Defender-Befehlszeilentool bereitzustellen, haben Forscher herausgefunden.

Cybersicherheitsforscher von Sentinel Labs haben kürzlich eine neue Methode entdeckt, die von einem unbekannten Bedrohungsakteur eingesetzt wird, wobei das Endspiel die Bereitstellung von LockBit 3.0 Ransomware ist.

Es funktioniert so: Der Angreifer würde log4shell (wie Log4j Zero-Day genannt wird) nutzen, um Zugriff auf einen Zielendpunkt zu erhalten und die erforderlichen Benutzerrechte zu erhalten. Sobald dies aus dem Weg geräumt ist, würden sie PowerShell verwenden, um drei separate Dateien herunterzuladen: eine Windows CL-Dienstprogrammdatei (sauber), eine DLL-Datei (mpclient.dll) und eine LOG-Datei (das eigentliche Cobalt Strike-Beacon).

Cobalt Strike mit seitlicher Ladung

Sie würden dann MpCmdRun.exe ausführen, ein Befehlszeilendienstprogramm, das verschiedene Aufgaben für Microsoft Defender ausführt. Dieses Programm lädt normalerweise eine legitime DLL-Datei – mpclient.dll, die es benötigt, um korrekt ausgeführt zu werden. Aber in diesem Fall würde das Programm eine bösartige DLL mit demselben Namen laden, die zusammen mit dem Programm heruntergeladen wird.

Diese DLL lädt die LOG-Datei und entschlüsselt eine verschlüsselte Cobalt Strike-Nutzlast.

Es ist eine Methode, die als Side-Loading bekannt ist.

Normalerweise verwendete dieses LockBit-Tochterunternehmen die Befehlszeilentools von VMware, um Cobalt Strike-Beacons von der Seite zu laden. PiependerComputer sagt, der Umstieg auf den Windows Defender sei also etwas ungewöhnlich. Die Veröffentlichung spekuliert, dass die Änderung vorgenommen wurde, um gezielte Schutzmaßnahmen zu umgehen, die VMware kürzlich eingeführt hat. Verwenden Sie jedoch Tools, die vom Land leben, um der Erkennung durch Antivirenprogramme zu entgehen (öffnet in neuem Tab) oder Malware (öffnet in neuem Tab) Sicherheitsdienste sind heutzutage „extrem üblich“, schließt die Veröffentlichung und fordert Unternehmen auf, ihre Sicherheitskontrollen zu überprüfen und wachsam zu sein, wenn es darum geht, zu verfolgen, wie legitime ausführbare Dateien (missbraucht) werden.

Obwohl Cobalt Strike ein legitimes Tool ist, das für Penetrationstests verwendet wird, ist es ziemlich berüchtigt geworden, da es überall von Bedrohungsakteuren missbraucht wird. Es enthält eine umfangreiche Liste von Funktionen, die Cyberkriminelle verwenden können, um das Zielnetzwerk unentdeckt zu kartieren und sich seitlich über Endpunkte hinweg zu bewegen, während sie sich darauf vorbereiten, Daten zu stehlen und Ransomware einzusetzen.

Via: PiependerComputer (öffnet in neuem Tab)

Quelle

VORHERIGER ARTIKEL

NÄCHSTER ARTIKEL

Windows Defender wurde gehackt, um diese gefährliche Ransomware bereitzustellen

Must-Have-Software im Jahr 2024

Top Kategorien

Aktuelle Bewertungen

Teaser-Video zum Samsung Galaxy Z Flip 5 im Vorfeld des Galaxy Unpacked-Events zeigt neues Scharnierdesign und neue Farboptionen

Twitter begrenzt die Anzahl der DMs, die nicht verifizierte Benutzer senden können

Mein Lieblings-Android-Telefon kann Dinge, die mein iPhone 14 Pro Max nicht kann

ChatGPT für Android startet nächste Woche und Sie können sich jetzt vorregistrieren

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A mit Google TV, 20-W-Lautsprecher in Indien eingeführt: : Preis, Spezifikationen

Diese essbare Batterie könnte die Welt der Diagnostik und nachhaltigen Energie antreiben