Windows Defender hakkeroitu ottaakseen käyttöön tämän vaarallisen kiristysohjelman

TechRadar
elokuussa 02
Jaa viesti

Log4j-haavoittuvuuksia käytetään nyt Cobalt Strike -majakoiden asentamiseen Windows Defenderin komentorivityökalun kautta, tutkijat ovat havainneet.

Sentinel Labsin kyberturvallisuustutkijat huomasivat äskettäin uuden menetelmän, jota tuntematon uhkatoimija käytti ja jonka päätteeksi otetaan käyttöön LockBit 3.0 lunnasohjelma.

Se toimii näin: uhkatekijä käyttää log4shelliä (kuten Log4j:n nollapäivä kutsutaan) päästäkseen kohdepäätepisteeseen ja hankkiakseen tarvittavat käyttäjäoikeudet. Kun se on poissa tieltä, he lataavat PowerShellin avulla kolme erillistä tiedostoa: Windows CL -apuohjelmatiedoston (puhdas), DLL-tiedoston (mpclient.dll) ja LOG-tiedoston (varsinainen Cobalt Strike -majakka).

Sivulta ladattava Cobalt Strike

Sitten he suorittaisivat MpCmdRun.exe-komentorivityökalun, joka suorittaa erilaisia tehtäviä Microsoft Defenderille. Tämä ohjelma lataa yleensä laillisen DLL-tiedoston – mpclient.dll, jonka se tarvitsee toimiakseen oikein. Mutta tässä tapauksessa ohjelma lataa samannimisen haitallisen DLL:n, joka ladataan yhdessä ohjelman kanssa.

Tämä DLL lataa LOG-tiedoston ja purkaa salatun Cobalt Strike -hyötykuorman.

Se on sivulatauksena tunnettu menetelmä.

Yleensä tämä LockBit-tytäryritys käytti VMwaren komentorivityökaluja Cobalt Strike -majakoiden sivulataukseen, BleepingComputer sanoo, joten siirtyminen Windows Defenderiin on hieman epätavallinen. Julkaisu spekuloi, että muutos tehtiin ohittamaan VMwaren äskettäin käyttöön ottamat kohdistetut suojaukset. Silti käytämme ulkomailla eläviä työkaluja välttääksesi virusten havaitsemisen (avautuu uuteen välilehteen) tai haittaohjelma (avautuu uuteen välilehteen) Suojauspalvelut ovat "erittäin yleisiä" näinä päivinä, julkaisu päättelee ja kehottaa yrityksiä tarkistamaan turvavalvontansa ja olemaan valppaana seuraamaan, kuinka laillisia suoritettavia tiedostoja (väärin)käytetään.

Vaikka Cobalt Strike on laillinen työkalu, jota käytetään tunkeutumistestaukseen, siitä on tullut melko surullisen kuuluisa, koska uhkatoimijat käyttävät sitä väärin kaikkialla. Sen mukana tulee laaja luettelo ominaisuuksista, joita verkkorikolliset voivat käyttää kartoittaakseen kohdeverkon havaitsematta ja siirtyäkseen sivusuunnassa päätepisteiden välillä valmistautuessaan varastamaan tietoja ja ottamaan käyttöön kiristysohjelmia.

Via: BleepingComputer (avautuu uuteen välilehteen)

lähde

Edellinen Post

Seuraava Post

Windows Defender hakkeroitu ottaakseen käyttöön tämän vaarallisen kiristysohjelman

Pakollinen ohjelmisto vuonna 2024

Suosituimmat luokat

Viimeisimmät arviot

Samsung Galaxy Z Flip 5 Teaser -video, Galaxy Unpacked -tapahtuman edessä, uusi saranasuunnittelu, värivaihtoehdot

Twitter rajoittaa vahvistamattomien käyttäjien lähettämien DM-viestien määrää

Suosikki Android-puhelimeni voi tehdä asioita, joihin iPhone 14 Pro Max ei pysty

ChatGPT Androidille julkaistaan ensi viikolla, ja voit rekisteröityä ennakkoon nyt

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV:llä, 20 W kaiuttimet lanseerattiin Intiassa: : Hinta, tekniset tiedot

Tämä syötävä akku voisi antaa virran diagnostiikan ja kestävän energian maailmalle

Windows Defender hakkeroitu ottaakseen käyttöön tämän vaarallisen kiristysohjelman

Pakollinen ohjelmisto vuonna 2024

Suosituimmat luokat

Viimeisimmät arviot

Samsung Galaxy Z Flip 5 Teaser -video, Galaxy Unpacked -tapahtuman edessä, uusi saranasuunnittelu, värivaihtoehdot

Twitter rajoittaa vahvistamattomien käyttäjien lähettämien DM-viestien määrää

Suosikki Android-puhelimeni voi tehdä asioita, joihin iPhone 14 Pro Max ei pysty

ChatGPT Androidille julkaistaan ​​ensi viikolla, ja voit rekisteröityä ennakkoon nyt

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV:llä, 20 W kaiuttimet lanseerattiin Intiassa: : Hinta, tekniset tiedot

Tämä syötävä akku voisi antaa virran diagnostiikan ja kestävän energian maailmalle

ChatGPT Androidille julkaistaan ensi viikolla, ja voit rekisteröityä ennakkoon nyt