Windows Defender осы қауіпті төлем бағдарламалық құралын қолдану үшін бұзылды

Log4j осалдықтары қазір Windows Defender пәрмен жолы құралы арқылы Cobalt Strike маяктарын орналастыру үшін пайдаланылады, зерттеушілер анықтады.

Жақында Sentinel Labs киберқауіпсіздік зерттеушілері белгісіз қауіп актері қолданатын жаңа әдісті байқады, оның соңы LockBit 3.0 төлем бағдарламалық құралын орналастыру болып табылады.

Ол келесідей жұмыс істейді: қауіп актері мақсатты соңғы нүктеге қол жеткізу және қажетті пайдаланушы артықшылықтарын алу үшін log4shell (Log4j нөлдік күн деп аталады) пайдаланады. Бұл жолдан шыққанда, олар PowerShell бағдарламасын үш бөлек файлды жүктеп алу үшін пайдаланады: Windows CL қызметтік файлы (таза), DLL файлы (mpclient.dll) және LOG файлы (нақты Cobalt Strike маяк).

Бүйірден жүктелетін Cobalt Strike

Содан кейін олар Microsoft Defender үшін әртүрлі тапсырмаларды орындайтын пәрмен жолы утилитасы MpCmdRun.exe іске қосады. Бұл бағдарлама әдетте заңды DLL файлын – mpclient.dll жүктейді, ол дұрыс іске қосылуы керек. Бірақ бұл жағдайда бағдарлама бағдарламамен бірге жүктелген аттас зиянды DLL файлын жүктейді.

Бұл DLL файлында LOG файлы жүктеледі және шифрланған Cobalt Strike пайдалы жүктемесінің шифры ашылады.

Бұл бүйірлік жүктеу деп аталатын әдіс.

Әдетте, бұл LockBit серіктестігі Cobalt Strike маяктарын жанама жүктеу үшін VMware пәрмен жолы құралдарын пайдаланды, BleepingComputer дейді, сондықтан Windows Defender-ге ауысу әдеттен тыс. Басылым бұл өзгеріс VMware жақында енгізген мақсатты қорғаныстарды айналып өту үшін жасалған деп болжайды. Десе де, антивирус арқылы анықталмау үшін жер бетіндегі құралдарды пайдалану (жаңа қойындыда ашылады) немесе зиянды бағдарлама (жаңа қойындыда ашылады) қорғау қызметтері бұл күндері «өте кең таралған», - деп қорытындылады басылым, бизнесті қауіпсіздікті бақылауды тексеруге және заңды орындалатын файлдардың (ab) қалай пайдаланылып жатқанын бақылауда қырағы болуға шақырады.

Cobalt Strike енуді сынау үшін қолданылатын заңды құрал болса да, оны барлық жерде қауіп төндіретін субъектілер теріс пайдаланатындықтан, ол өте танымал болды. Ол киберқылмыскерлер деректерді ұрлауға және төлем бағдарламалық құралын орналастыруға дайындалып жатқан кезде, анықталмаған мақсатты желіні анықтау және соңғы нүктелер бойынша көлденең жылжыту үшін пайдалана алатын мүмкіндіктердің кең тізімімен келеді.

Via: BleepingComputer (жаңа қойындыда ашылады)

қайнар көз

Алдыңғы жазған

Келесі жазған

Keep Calm and Stay Smart

08:35

Біздің команда жыл сайын өз кеңесшілеріміз және бизнес көшбасшылар тобы арқылы жүздеген бағдарламалық жасақтаманы, қызметтерді және бизнес стратегияларды кәсіби түрде сынап көреді.

Біз пайдалану оңай, ұйымның кез келген түріне лайықты түрде біріктірілген және сіздің бизнес секторыңыздың шыңында қалуыңызды қамтамасыз ететін жетекші мүмкіндіктерді қамтитын ең жоғары шығындар мен пайда арақатынасы бар қатаң шешімдерді таңдаймыз.

Windows Defender осы қауіпті төлем бағдарламалық құралын қолдану үшін бұзылды

2024 жылы болуы керек бағдарламалық құрал

Жоғары категориялар

Соңғы шолулар

Samsung Galaxy Z Flip 5 тизер видеосы, Galaxy Unpacked оқиғасы қарсаңында, топсаның жаңа дизайнын, түс опцияларын көрсетеді

Twitter тексерілмеген пайдаланушылар жібере алатын DM санын шектейді

Менің сүйікті Android телефоным iPhone 14 Pro Max жасай алмайтын нәрселерді жасай алады

Android үшін ChatGPT келесі аптада іске қосылады және сіз қазір алдын ала тіркеле аласыз

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV бар, 20 Вт динамиктер Үндістанда шығарылды: : Бағасы, Техникалық сипаттамалары

Бұл жеуге болатын батарея диагностика және тұрақты энергия әлеміне қуат бере алады