محققان دریافتهاند که آسیبپذیریهای Log4j اکنون برای استقرار چراغهای Cobalt Strike از طریق ابزار خط فرمان Windows Defender استفاده میشوند.
محققان امنیت سایبری از Sentinel Labs اخیراً روش جدیدی را مشاهده کردهاند که توسط یک عامل تهدید ناشناخته به کار گرفته شده است که آخرین بازی آن استقرار باجافزار LockBit 3.0 است.
این کار به این صورت است: عامل تهدید از log4shell (همانطور که Log4j zero-day نامیده میشود) استفاده میکند تا به نقطه پایانی هدف دسترسی پیدا کند و امتیازات لازم کاربر را به دست آورد. هنگامی که این راه حل نشد، از PowerShell برای دانلود سه فایل جداگانه استفاده میکنند: یک فایل کاربردی Windows CL (تمیز)، یک فایل DLL (mpclient.dll) و یک فایل LOG (فانوس دریایی واقعی Cobalt Strike).
اعتصاب کبالت بارگیری جانبی
سپس آنها MpCmdRun.exe را اجرا می کنند، یک ابزار خط فرمان که وظایف مختلفی را برای Microsoft Defender انجام می دهد. آن برنامه معمولاً یک فایل DLL قانونی - mpclient.dll را بارگذاری می کند که برای اجرای صحیح آن نیاز دارد. اما در این مثال، برنامه یک DLL مخرب به همین نام را بارگیری می کند که همراه با برنامه دانلود می شود.
آن DLL دارای بارگذاری فایل LOG و رمزگشایی یک محموله رمزگذاری شده Cobalt Strike خواهد بود.
این روشی است که به عنوان بارگذاری جانبی شناخته می شود.
معمولاً این شرکت وابسته LockBit از ابزارهای خط فرمان VMware برای بارگذاری جانبی چراغ های Cobalt Strike استفاده می کند. کامپیوتر BleepingComment می گوید، بنابراین تغییر به Windows Defender تا حدودی غیرعادی است. این نشریه حدس میزند که این تغییر برای دور زدن حفاظتهای هدفمندی است که اخیراً VMware معرفی کرده است. با این حال، با استفاده از ابزارهای زندگی خارج از زمین برای جلوگیری از شناسایی توسط آنتی ویروس (در برگه جدید باز می شود) یا بدافزار (در برگه جدید باز می شود) این نشریه نتیجهگیری میکند که خدمات حفاظتی این روزها «بسیار متداول» است و از کسبوکارها میخواهد که کنترلهای امنیتی خود را بررسی کنند و در ردیابی نحوه (سوء)استفاده از فایلهای اجرایی قانونی هوشیار باشند.
اگرچه Cobalt Strike یک ابزار قانونی است که برای آزمایش نفوذ استفاده می شود، اما بسیار بدنام شده است زیرا توسط عوامل تهدید در همه جا مورد سوء استفاده قرار می گیرد. همراه با فهرست گستردهای از ویژگیهایی است که مجرمان سایبری میتوانند از آنها برای ترسیم شبکه هدف، شناسایی نشده و حرکت جانبی در نقاط پایانی استفاده کنند، زیرا آنها برای سرقت دادهها و استقرار باجافزار آماده میشوند.
از طریق: کامپیوتر BleepingComment (در برگه جدید باز می شود)