მკვლევარებმა აღმოაჩინეს, რომ Log4j დაუცველობა ახლა გამოიყენება Cobalt Strike შუქურების გამოსაყენებლად Windows Defender ბრძანების ხაზის ხელსაწყოს მეშვეობით.
კიბერუსაფრთხოების მკვლევარებმა Sentinel Labs-იდან ახლახან შეამჩნიეს ახალი მეთოდი, რომელიც გამოიყენა უცნობი საფრთხის შემქმნელის მიერ, რომლის ბოლო თამაში იყო LockBit 3.0 გამოსასყიდი პროგრამის განთავსება.
ის ასე მუშაობს: საფრთხის აქტორი გამოიყენებს log4shell-ს (როგორც Log4j ნულოვანი დღე ჰქვია) სამიზნე ბოლო წერტილზე წვდომის მოსაპოვებლად და მომხმარებლის საჭირო პრივილეგიების მისაღებად. როგორც კი ეს გზა არ არის, ისინი გამოიყენებენ PowerShell-ს სამი ცალკეული ფაილის ჩამოსატვირთად: Windows CL უტილიტა ფაილი (სუფთა), DLL ფაილი (mpclient.dll) და LOG ფაილი (ფაქტობრივი Cobalt Strike beacon).
გვერდითი დატვირთვა Cobalt Strike
შემდეგ ისინი აწარმოებენ MpCmdRun.exe-ს, ბრძანების ხაზის პროგრამას, რომელიც ასრულებს სხვადასხვა დავალებებს Microsoft Defender-ისთვის. ეს პროგრამა ჩვეულებრივ ჩატვირთავს ლეგიტიმურ DLL ფაილს – mpclient.dll, რომელიც მას სწორად გასაშვებად სჭირდება. მაგრამ ამ შემთხვევაში, პროგრამა ჩატვირთავს ამავე სახელწოდების მავნე DLL-ს, რომელიც ჩამოტვირთულია პროგრამასთან ერთად.
ამ DLL-ს ექნება LOG ფაილის ჩატვირთვა და დაშიფრული Cobalt Strike დატვირთვის გაშიფვრა.
ეს არის მეთოდი, რომელიც ცნობილია როგორც გვერდითი დატვირთვა.
ჩვეულებრივ, LockBit-ის ეს შვილობილი იყენებდა VMware-ის ბრძანების სტრიქონის ინსტრუმენტებს Cobalt Strike-ის შუქურების გვერდით ჩატვირთვისთვის, BleepingComputer ამბობს, რომ Windows Defender-ზე გადასვლა გარკვეულწილად უჩვეულოა. პუბლიკაცია ვარაუდობს, რომ ცვლილება განხორციელდა მიზნობრივი დაცვის გვერდის ავლით, რომელიც VMware-მა ახლახან შემოიღო. მიუხედავად ამისა, ხმელეთზე მცხოვრები ხელსაწყოების გამოყენება ანტივირუსით აღმოჩენის თავიდან ასაცილებლად (იხსნება ახალ ჩანართში) ან მავნე პროგრამები (იხსნება ახალ ჩანართში) დაცვის სერვისები ამ დღეებში „უკიდურესად გავრცელებულია“, ასკვნის გამოცემა, რომელიც ბიზნესს მოუწოდებს შეამოწმონ უსაფრთხოების კონტროლი და ფრთხილად იყვნენ თვალყურის დევნებისთვის, თუ როგორ ხდება ლეგიტიმური შემსრულებელი მასალების (არა) გამოყენება.
მიუხედავად იმისა, რომ Cobalt Strike არის ლეგიტიმური ინსტრუმენტი, რომელიც გამოიყენება შეღწევადობის ტესტირებისთვის, ის საკმაოდ სამარცხვინოა, რადგან მას ყველგან ბოროტად იყენებენ საფრთხის მოქმედი პირები. მას მოყვება ფუნქციების ვრცელი სია, რომლებიც კიბერკრიმინალებს შეუძლიათ გამოიყენონ სამიზნე ქსელის გასარკვევად, გამოუცნობი და გვერდითი გადაადგილებისთვის საბოლოო წერტილებში, რადგან ისინი ემზადებიან მონაცემთა მოპარვისა და გამოსასყიდის პროგრამების გამოსაყენებლად.
ქუჩა: BleepingComputer (იხსნება ახალ ჩანართში)