Windows Defender פרץ כדי לפרוס את תוכנת הכופר המסוכנת הזו

TechRadar
אוגוסט 02
שתף פוסט

פגיעויות Log4j משמשות כעת לפריסת משואות Cobalt Strike באמצעות כלי שורת הפקודה של Windows Defender, מצאו חוקרים.

חוקרי אבטחת סייבר ממעבדות Sentinel הבחינו לאחרונה בשיטה חדשה, שהופעלה על ידי שחקן איומים לא ידוע, כאשר המשחק הסופי הוא פריסת תוכנת כופר LockBit 3.0.

זה עובד כך: שחקן האיום ימנף את log4shell (כפי שמכנים את Log4j zero-day) כדי לקבל גישה לנקודת קצה יעד, ולהשיג את הרשאות המשתמש הדרושות. ברגע שזה יצא מהדרך, הם ישתמשו ב-PowerShell כדי להוריד שלושה קבצים נפרדים: קובץ עזר של Windows CL (נקי), קובץ DLL (mpclient.dll) וקובץ LOG (משואת Cobalt Strike בפועל).

קובלט סטרייק בטעינת צד

לאחר מכן הם יפעילו את MpCmdRun.exe, תוכנית שירות שורת פקודה המבצעת משימות שונות עבור Microsoft Defender. תוכנית זו תטען בדרך כלל קובץ DLL לגיטימי - mpclient.dll, שעליו להפעיל כהלכה. אבל במקרה זה, התוכנית תטען DLL זדוני באותו שם, שהוורד יחד עם התוכנית.

ה-DLL הזה יטען את קובץ ה-LOG ויפענח מטען מוצפן של Cobalt Strike.

זו שיטה המכונה העמסת צד.

בדרך כלל, שותפה זו של LockBit השתמשה בכלי שורת הפקודה של VMware כדי לטעון צד של משואות Cobalt Strike, מטלפן אומר, אז המעבר ל-Windows Defender הוא קצת יוצא דופן. הפרסום משער שהשינוי נעשה כדי לעקוף הגנות ממוקדות ש-VMware הציגה לאחרונה. ובכל זאת, שימוש בכלים לחיות מחוץ לאדמה כדי להתחמק מזיהוי על ידי אנטי וירוס (נפתח בלשונית חדשה) או תוכנות זדוניות (נפתח בלשונית חדשה) שירותי הגנה הם "נפוץ ביותר" בימים אלה, מסכם הפרסום, וקורא לעסקים לבדוק את בקרות האבטחה שלהם ולהיות ערניים במעקב אחר אופן השימוש (לרעה) בקובצי הפעלה לגיטימיים.

למרות ש-Cobalt Strike הוא כלי לגיטימי, המשמש לבדיקות חדירה, הוא הפך לשמצה למדי מכיוון שהוא מנוצל לרעה על ידי גורמי איומים בכל מקום. זה מגיע עם רשימה נרחבת של תכונות שבהן פושעי סייבר יכולים להשתמש כדי למפות את רשת היעד, ללא זיהוי, ולנוע לרוחב על פני נקודות קצה, בזמן שהם מתכוננים לגנוב נתונים ולפרוס תוכנות כופר.

ויה: מטלפן (נפתח בלשונית חדשה)

מָקוֹר