Kerentanan Log4j sekarang digunakan untuk menyebarkan suar Cobalt Strike melalui alat baris perintah Windows Defender, para peneliti telah menemukan.
Peneliti keamanan siber dari Sentinel Labs baru-baru ini melihat metode baru, yang digunakan oleh aktor ancaman yang tidak dikenal, dengan tujuan akhir adalah penyebaran ransomware LockBit 3.0.
Ini bekerja seperti ini: aktor ancaman akan memanfaatkan log4shell (karena zero-day Log4j di-dubbing) untuk mendapatkan akses ke titik akhir target, dan mendapatkan hak istimewa pengguna yang diperlukan. Setelah itu, mereka akan menggunakan PowerShell untuk mengunduh tiga file terpisah: file utilitas Windows CL (bersih), file DLL (mpclient.dll), dan file LOG (suar Cobalt Strike sebenarnya).
Cobalt Strike pemuatan samping
Mereka kemudian akan menjalankan MpCmdRun.exe, utilitas baris perintah yang melakukan berbagai tugas untuk Microsoft Defender. Program itu biasanya memuat file DLL yang sah – mpclient.dll, yang perlu dijalankan dengan benar. Tetapi dalam contoh ini, program akan memuat DLL berbahaya dengan nama yang sama, diunduh bersama dengan program tersebut.
DLL itu akan memuat file LOG dan mendekripsi muatan Cobalt Strike terenkripsi.
Ini adalah metode yang dikenal sebagai side-loading.
Biasanya, afiliasi LockBit ini menggunakan alat baris perintah VMware untuk memuat sisi beacon Cobalt Strike, BleepingComputer mengatakan, jadi beralih ke Windows Defender agak tidak biasa. Publikasi tersebut berspekulasi bahwa perubahan itu dibuat untuk melewati perlindungan bertarget yang baru-baru ini diperkenalkan VMware. Tetap saja, menggunakan alat hidup di luar negeri untuk menghindari terdeteksi oleh antivirus (terbuka di tab baru) atau malware (terbuka di tab baru) layanan perlindungan "sangat umum" akhir-akhir ini, publikasi menyimpulkan, mendesak bisnis untuk memeriksa kontrol keamanan mereka dan waspada dengan melacak bagaimana executable yang sah sedang (ab) digunakan.
Meskipun Cobalt Strike adalah alat yang sah, digunakan untuk pengujian penetrasi, itu tumbuh cukup terkenal karena disalahgunakan oleh aktor ancaman di mana-mana. Muncul dengan daftar lengkap fitur yang dapat digunakan penjahat dunia maya untuk memetakan jaringan target, tidak terdeteksi, dan bergerak secara lateral melintasi titik akhir, saat mereka bersiap untuk mencuri data dan menyebarkan ransomware.
via: BleepingComputer (terbuka di tab baru)