Windows Defender გატეხილია ამ საშიში გამოსასყიდის გამოსაყენებლად

მკვლევარებმა აღმოაჩინეს, რომ Log4j დაუცველობა ახლა გამოიყენება Cobalt Strike შუქურების გამოსაყენებლად Windows Defender ბრძანების ხაზის ხელსაწყოს მეშვეობით.

კიბერუსაფრთხოების მკვლევარებმა Sentinel Labs-იდან ახლახან შეამჩნიეს ახალი მეთოდი, რომელიც გამოიყენა უცნობი საფრთხის შემქმნელის მიერ, რომლის ბოლო თამაში იყო LockBit 3.0 გამოსასყიდი პროგრამის განთავსება.

ის ასე მუშაობს: საფრთხის აქტორი გამოიყენებს log4shell-ს (როგორც Log4j ნულოვანი დღე ჰქვია) სამიზნე ბოლო წერტილზე წვდომის მოსაპოვებლად და მომხმარებლის საჭირო პრივილეგიების მისაღებად. როგორც კი ეს გზა არ არის, ისინი გამოიყენებენ PowerShell-ს სამი ცალკეული ფაილის ჩამოსატვირთად: Windows CL უტილიტა ფაილი (სუფთა), DLL ფაილი (mpclient.dll) და LOG ფაილი (ფაქტობრივი Cobalt Strike beacon).

გვერდითი დატვირთვა Cobalt Strike

შემდეგ ისინი აწარმოებენ MpCmdRun.exe-ს, ბრძანების ხაზის პროგრამას, რომელიც ასრულებს სხვადასხვა დავალებებს Microsoft Defender-ისთვის. ეს პროგრამა ჩვეულებრივ ჩატვირთავს ლეგიტიმურ DLL ფაილს – mpclient.dll, რომელიც მას სწორად გასაშვებად სჭირდება. მაგრამ ამ შემთხვევაში, პროგრამა ჩატვირთავს ამავე სახელწოდების მავნე DLL-ს, რომელიც ჩამოტვირთულია პროგრამასთან ერთად.

ამ DLL-ს ექნება LOG ფაილის ჩატვირთვა და დაშიფრული Cobalt Strike დატვირთვის გაშიფვრა.

ეს არის მეთოდი, რომელიც ცნობილია როგორც გვერდითი დატვირთვა.

ჩვეულებრივ, LockBit-ის ეს შვილობილი იყენებდა VMware-ის ბრძანების სტრიქონის ინსტრუმენტებს Cobalt Strike-ის შუქურების გვერდით ჩატვირთვისთვის, BleepingComputer ამბობს, რომ Windows Defender-ზე გადასვლა გარკვეულწილად უჩვეულოა. პუბლიკაცია ვარაუდობს, რომ ცვლილება განხორციელდა მიზნობრივი დაცვის გვერდის ავლით, რომელიც VMware-მა ახლახან შემოიღო. მიუხედავად ამისა, ხმელეთზე მცხოვრები ხელსაწყოების გამოყენება ანტივირუსით აღმოჩენის თავიდან ასაცილებლად (იხსნება ახალ ჩანართში) ან მავნე პროგრამები (იხსნება ახალ ჩანართში) დაცვის სერვისები ამ დღეებში „უკიდურესად გავრცელებულია“, ასკვნის გამოცემა, რომელიც ბიზნესს მოუწოდებს შეამოწმონ უსაფრთხოების კონტროლი და ფრთხილად იყვნენ თვალყურის დევნებისთვის, თუ როგორ ხდება ლეგიტიმური შემსრულებელი მასალების (არა) გამოყენება.

მიუხედავად იმისა, რომ Cobalt Strike არის ლეგიტიმური ინსტრუმენტი, რომელიც გამოიყენება შეღწევადობის ტესტირებისთვის, ის საკმაოდ სამარცხვინოა, რადგან მას ყველგან ბოროტად იყენებენ საფრთხის მოქმედი პირები. მას მოყვება ფუნქციების ვრცელი სია, რომლებიც კიბერკრიმინალებს შეუძლიათ გამოიყენონ სამიზნე ქსელის გასარკვევად, გამოუცნობი და გვერდითი გადაადგილებისთვის საბოლოო წერტილებში, რადგან ისინი ემზადებიან მონაცემთა მოპარვისა და გამოსასყიდის პროგრამების გამოსაყენებლად.

ქუჩა: BleepingComputer (იხსნება ახალ ჩანართში)

წყარო

წინა ჩანაწერი

Keep Calm and Stay Smart

08:35

ჩვენი გუნდი ყოველწლიურად პროფესიონალურად ამოწმებს ასობით პროგრამულ უზრუნველყოფას, სერვისსა და ბიზნეს სტრატეგიას ჩვენი საკუთარი კონსულტანტებისა და ბიზნეს ლიდერების პანელის მეშვეობით.

ჩვენ ვირჩევთ მკაცრ გადაწყვეტილებებს მხოლოდ ხარჯ-სარგებლის მაღალი თანაფარდობით, რომლებიც ადვილად გამოსაყენებელია, რომლებიც ღირსეულად ინტეგრირდება ნებისმიერ ტიპის ორგანიზაციაში და შეიცავს წამყვან ფუნქციებს, რათა უზრუნველყოთ, რომ დარჩეთ თქვენი ბიზნეს სექტორის თავზე.

Windows Defender გატეხილია ამ საშიში გამოსასყიდის გამოსაყენებლად

აუცილებელი პროგრამული უზრუნველყოფა 2024 წელს

მოწინავე კატეგორიები

უახლესი მიმოხილვა

Samsung Galaxy Z Flip 5 თიზერ ვიდეო, Galaxy Unpacked ღონისძიების წინ, აჩვენებს ახალი საკინძების დიზაინს, ფერის ვარიანტებს

Twitter ზღუდავს DM-ების რაოდენობას, რომლებსაც შეუძლიათ გადაუმოწმებელი მომხმარებლების გაგზავნა

ჩემს საყვარელ Android ტელეფონს შეუძლია გააკეთოს ის, რაც ჩემს iPhone 14 Pro Max-ს არ შეუძლია

ChatGPT Android-ისთვის მომავალ კვირას ამოქმედდება და შეგიძლიათ წინასწარ დარეგისტრირდეთ ახლავე

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV, 20W დინამიკები გამოვიდა ინდოეთში: : ფასი, სპეციფიკაციები

ამ საკვებ ბატარეას შეუძლია დიაგნოსტიკისა და მდგრადი ენერგიის სამყაროს კვება