A Windows Defender feltörte, hogy telepítse ezt a veszélyes zsarolóprogramot

A kutatók megállapították, hogy a Log4j sebezhetőségeit most a Cobalt Strike jelzőfények Windows Defender parancssori eszközön keresztül történő telepítésére használják.

A Sentinel Labs kiberbiztonsági kutatói a közelmúltban felfedeztek egy új módszert, amelyet egy ismeretlen fenyegető szereplő alkalmaz, és a végjáték a LockBit 3.0 ransomware telepítése volt.

Ez a következőképpen működik: a fenyegetés szereplője a log4shell segítségével (ahogy a Log4j nulladik napját nevezik) hozzáférhet egy célvégponthoz, és megszerezné a szükséges felhasználói jogosultságokat. Ha ez nem megy, a PowerShell segítségével három külön fájlt töltenek le: egy Windows CL segédprogramot (tiszta), egy DLL fájlt (mpclient.dll) és egy LOG fájlt (a tényleges Cobalt Strike jeladót).

Oldalról tölthető Cobalt Strike

Ezután az MpCmdRun.exe parancssori segédprogramot futtatják, amely különféle feladatokat hajt végre a Microsoft Defender számára. Ez a program általában egy törvényes DLL-fájlt – mpclient.dll-t – tölt be, amelynek megfelelően futnia kell. De ebben az esetben a program betölt egy azonos nevű rosszindulatú DLL-t, amelyet a programmal együtt töltenek le.

Ez a DLL betölti a LOG fájlt, és visszafejti a titkosított Cobalt Strike hasznos adatot.

Ez egy oldalterhelésként ismert módszer.

Általában ez a LockBit leányvállalat a VMware parancssori eszközeit használta a Cobalt Strike jelzőfények oldalsó betöltésére, BleepingComputer mondja, így a Windows Defenderre való váltás kissé szokatlan. A kiadvány azt feltételezi, hogy a változtatás a VMware által nemrégiben bevezetett célzott védelmek megkerülése érdekében történt. Mégis, a földön kívüli eszközök használatával elkerülhető, hogy a víruskereső észlelje (új lapon nyílik meg) vagy malware (új lapon nyílik meg) A védelmi szolgáltatások „rendkívül elterjedtek” manapság – zárul a kiadvány, és arra kéri a vállalkozásokat, hogy ellenőrizzék biztonsági ellenőrzéseiket, és legyenek éberek a jogszerű végrehajtható fájlok (vissza)használatának nyomon követésében.

Annak ellenére, hogy a Cobalt Strike legitim eszköz, amelyet a behatolási teszteléshez használnak, meglehetősen hírhedtté vált, mivel a fenyegetés szereplői mindenhol visszaélnek vele. Tartalmazza azon funkciók széles listáját, amelyeket a kiberbűnözők használhatnak a célhálózat feltérképezésére, észrevétlenül, és oldalirányban a végpontokon keresztül, miközben felkészülnek az adatok ellopására és a zsarolóvírusok telepítésére.

Keresztül: BleepingComputer (új lapon nyílik meg)

forrás

Előző bejegyzés

Következő bejegyzés

A Windows Defender feltörte, hogy telepítse ezt a veszélyes zsarolóprogramot

Kötelező szoftver 2024-ben

Legjobb kategóriák

Legfrissebb értékelések

Samsung Galaxy Z Flip 5 kedvcsináló videó, a Galaxy Unpacked Event előtt, új csuklódizájn, színopciók

A Twitter korlátozza az ellenőrzött felhasználók által küldhető DM-ek számát

Kedvenc Android-telefonom olyan dolgokra képes, amelyekre az iPhone 14 Pro Max nem képes

A ChatGPT for Android a jövő héten indul, és már most előregisztrálhat

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV-vel, 20 W-os hangszóró Indiában piacra dobva: : Ár, Műszaki adatok

Ez az ehető akkumulátor táplálhatja a diagnosztika és a fenntartható energia világát