Windows Defender häkkis selle ohtliku lunavara juurutamiseks

Uurijad on leidnud, et nüüd kasutatakse Cobalt Strike'i majakate juurutamiseks Windows Defenderi käsurea tööriista kaudu Log4j haavatavusi.

Sentinel Labsi küberjulgeolekuteadlased märkasid hiljuti uut meetodit, mida kasutas tundmatu ohutegija ja mille lõppmänguks oli LockBit 3.0 lunavara juurutamine.

See toimib järgmiselt: ohus osaleja kasutab sihtotspunktile juurdepääsu saamiseks ja vajalike kasutajaõiguste hankimiseks log4shelli (nagu nimetatakse Log4j nullpäevaks). Kui see on möödas, kasutavad nad PowerShelli kolme eraldi faili allalaadimiseks: Windows CL-i utiliidifail (puhas), DLL-fail (mpclient.dll) ja LOG-fail (tegelik Cobalt Strike'i majakas).

Külglaaditav Cobalt Strike

Seejärel käivitaksid nad MpCmdRun.exe, käsurea utiliidi, mis täidab Microsoft Defenderi jaoks erinevaid ülesandeid. See programm laadib tavaliselt seadusliku DLL-faili – mpclient.dll, mida ta vajab korrektseks käitamiseks. Kuid sel juhul laadib programm sama nimega pahatahtliku DLL-i, mis laaditakse alla koos programmiga.

See DLL laadib LOG-faili ja dekrüpteerib krüptitud Cobalt Strike'i kasuliku koormuse.

See on meetod, mida nimetatakse külglaadimiseks.

Tavaliselt kasutas see LockBiti sidusettevõte Cobalt Strike'i majakate külglaadimiseks VMware'i käsurea tööriistu, BleepingComputer ütleb, nii et üleminek Windows Defenderile on mõnevõrra ebatavaline. Väljaanne oletab, et muudatus tehti VMware'i hiljuti kasutusele võetud sihitud kaitsetest möödahiilimiseks. Sellegipoolest kasutage maaväliseid tööriistu, et vältida viirusetõrje tuvastamist (avaneb uuel vahelehel) või pahavara (avaneb uuel vahelehel) kaitseteenused on tänapäeval "äärmiselt levinud", järeldab väljaanne, kutsudes ettevõtteid üles kontrollima oma turvakontrolli ja olema valvsad seaduslike täitmisfailide (kuritarvitamise) kasutamise jälgimisel.

Kuigi Cobalt Strike on legitiimne tööriist, mida kasutatakse läbitungimise testimiseks, on see muutunud üsna kurikuulsaks, kuna ohus osalejad kuritarvitavad seda kõikjal. See sisaldab ulatuslikku funktsioonide loendit, mida küberkurjategijad saavad kasutada sihtvõrgu kaardistamiseks avastamatult ja külgsuunas üle lõpp-punktide liikumise, kui nad valmistuvad andmete varastamiseks ja lunavara juurutamiseks.

Via: BleepingComputer (avaneb uuel vahelehel)

allikas

Eelmine postitus

Järgmine postitus

Windows Defender häkkis selle ohtliku lunavara juurutamiseks

2024. aasta kohustuslik tarkvara

Parimad kategooriad

Viimased arvustused

Samsung Galaxy Z Flip 5 teaservideo, enne Galaxy lahtipakkimise üritust, näitab uut hingede kujundust, värvivalikud

Twitter piirab DM-ide arvu, mida kinnitamata kasutajad saavad saata

Minu lemmik Android-telefon saab teha asju, mida minu iPhone 14 Pro Max ei suuda

ChatGPT Androidile käivitatakse järgmisel nädalal ja saate juba praegu eelregistreerida

Indias turule toodud Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV-ga, 20 W kõlarid: : hind, tehnilised andmed

See söödav aku võiks toita diagnostika ja säästva energia maailma