Windows Defender diretas untuk menyebarkan ransomware berbahaya ini

TechRadar
pada bulan Agustus 02
Bagikan pos

Kerentanan Log4j sekarang digunakan untuk menyebarkan suar Cobalt Strike melalui alat baris perintah Windows Defender, para peneliti telah menemukan.

Peneliti keamanan siber dari Sentinel Labs baru-baru ini melihat metode baru, yang digunakan oleh aktor ancaman yang tidak dikenal, dengan tujuan akhir adalah penyebaran ransomware LockBit 3.0.

Ini bekerja seperti ini: aktor ancaman akan memanfaatkan log4shell (karena zero-day Log4j di-dubbing) untuk mendapatkan akses ke titik akhir target, dan mendapatkan hak istimewa pengguna yang diperlukan. Setelah itu, mereka akan menggunakan PowerShell untuk mengunduh tiga file terpisah: file utilitas Windows CL (bersih), file DLL (mpclient.dll), dan file LOG (suar Cobalt Strike sebenarnya).

Cobalt Strike pemuatan samping

Mereka kemudian akan menjalankan MpCmdRun.exe, utilitas baris perintah yang melakukan berbagai tugas untuk Microsoft Defender. Program itu biasanya memuat file DLL yang sah – mpclient.dll, yang perlu dijalankan dengan benar. Tetapi dalam contoh ini, program akan memuat DLL berbahaya dengan nama yang sama, diunduh bersama dengan program tersebut.

DLL itu akan memuat file LOG dan mendekripsi muatan Cobalt Strike terenkripsi.

Ini adalah metode yang dikenal sebagai side-loading.

Biasanya, afiliasi LockBit ini menggunakan alat baris perintah VMware untuk memuat sisi beacon Cobalt Strike, BleepingComputer mengatakan, jadi beralih ke Windows Defender agak tidak biasa. Publikasi tersebut berspekulasi bahwa perubahan itu dibuat untuk melewati perlindungan bertarget yang baru-baru ini diperkenalkan VMware. Tetap saja, menggunakan alat hidup di luar negeri untuk menghindari terdeteksi oleh antivirus (terbuka di tab baru) atau malware (terbuka di tab baru) layanan perlindungan "sangat umum" akhir-akhir ini, publikasi menyimpulkan, mendesak bisnis untuk memeriksa kontrol keamanan mereka dan waspada dengan melacak bagaimana executable yang sah sedang (ab) digunakan.

Meskipun Cobalt Strike adalah alat yang sah, digunakan untuk pengujian penetrasi, itu tumbuh cukup terkenal karena disalahgunakan oleh aktor ancaman di mana-mana. Muncul dengan daftar lengkap fitur yang dapat digunakan penjahat dunia maya untuk memetakan jaringan target, tidak terdeteksi, dan bergerak secara lateral melintasi titik akhir, saat mereka bersiap untuk mencuri data dan menyebarkan ransomware.

via: BleepingComputer (terbuka di tab baru)

sumber

Sebelumnya Pos

Posting berikutnya

Windows Defender diretas untuk menyebarkan ransomware berbahaya ini

Perangkat lunak yang harus dimiliki pada tahun 2024

Kategori teratas

Ulasan Terbaru

Video Teaser Samsung Galaxy Z Flip 5, Jelang Acara Galaxy Unpacked, Pamerkan Desain Engsel Baru, Pilihan Warna

Twitter membatasi jumlah DM yang dapat dikirim oleh pengguna yang tidak terverifikasi

Ponsel Android favorit saya dapat melakukan hal-hal yang tidak dapat dilakukan oleh iPhone 14 Pro Max saya

ChatGPT untuk Android akan diluncurkan minggu depan, dan Anda dapat melakukan pradaftar sekarang

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Dengan Google TV, Pembicara 20W Diluncurkan di India: : Harga, Spesifikasi

Baterai yang dapat dimakan ini dapat menggerakkan dunia diagnostik dan energi berkelanjutan