Windows Defender ຖືກແຮັກເພື່ອນຳໃຊ້ ransomware ອັນຕະລາຍນີ້

ຕອນນີ້ບັນດາຊ່ອງໂຫວ່ຂອງ Log4j ໄດ້ຖືກນຳໃຊ້ເພື່ອນຳໃຊ້ໂຄບຄອນໂຄໂບລຕີກໂຄບຜ່ານເຄື່ອງມືເສັ້ນຄຳສັ່ງຂອງ Windows Defender, ນັກຄົ້ນຄວ້າໄດ້ພົບເຫັນ.

ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພທາງໄຊເບີຈາກ Sentinel Labs ບໍ່ດົນມານີ້ໄດ້ພົບເຫັນວິທີການໃຫມ່, ຈ້າງໂດຍນັກຂົ່ມຂູ່ທີ່ບໍ່ຮູ້ຈັກ, ໂດຍ endgame ແມ່ນການນໍາໃຊ້ LockBit 3.0 ransomware.

ມັນເຮັດວຽກແບບນີ້: ຜູ້ຂົ່ມຂູ່ຈະ leverage log4shell (ຍ້ອນວ່າ Log4j zero-day ຖືກຂະຫນານນາມ) ເພື່ອເຂົ້າເຖິງຈຸດສິ້ນສຸດເປົ້າຫມາຍ, ແລະໄດ້ຮັບສິດທິຂອງຜູ້ໃຊ້ທີ່ຈໍາເປັນ. ເມື່ອມັນອອກຈາກທາງ, ພວກເຂົາຈະໃຊ້ PowerShell ເພື່ອດາວໂຫລດສາມໄຟລ໌ແຍກຕ່າງຫາກ: ໄຟລ໌ Windows CL utility (ສະອາດ), ໄຟລ໌ DLL (mpclient.dll), ແລະໄຟລ໌ LOG (Cobalt Strike beacon ຕົວຈິງ).

Cobalt Strike ດ້ານຂ້າງ

ຫຼັງຈາກນັ້ນເຂົາເຈົ້າຈະດໍາເນີນການ MpCmdRun.exe, ຜົນປະໂຫຍດເສັ້ນຄໍາສັ່ງທີ່ປະຕິບັດວຽກງານຕ່າງໆສໍາລັບ Microsoft Defender. ໂປລແກລມນັ້ນມັກຈະໂຫລດໄຟລ໌ DLL ທີ່ຖືກຕ້ອງ - mpclient.dll, ເຊິ່ງມັນຈໍາເປັນຕ້ອງດໍາເນີນການຢ່າງຖືກຕ້ອງ. ແຕ່ໃນກໍລະນີນີ້, ໂຄງການຈະໂຫລດ DLL ທີ່ເປັນອັນຕະລາຍທີ່ມີຊື່ດຽວກັນ, ດາວໂຫລດພ້ອມກັບໂຄງການ.

DLL ນັ້ນຈະມີການໂຫຼດໄຟລ໌ LOG ແລະຖອດລະຫັດການເຂົ້າລະຫັດ Cobalt Strike payload.

ມັນເປັນວິທີການທີ່ເອີ້ນວ່າ side-loading.

ໂດຍປົກກະຕິແລ້ວ, ສາຂາຂອງ LockBit ນີ້ໃຊ້ເຄື່ອງມືບັນທັດຄໍາສັ່ງຂອງ VMware ໃນການໂຫຼດ Cobalt Strike beacons, BleepingComputer ເວົ້າວ່າ, ດັ່ງນັ້ນການປ່ຽນໄປຫາ Windows Defender ແມ່ນຜິດປົກກະຕິບາງຢ່າງ. ສື່ສິ່ງພິມຄາດຄະເນວ່າການປ່ຽນແປງດັ່ງກ່າວໄດ້ຖືກສ້າງຂື້ນເພື່ອຂ້າມການປົກປ້ອງເປົ້າໝາຍທີ່ VMware ນຳສະເໜີເມື່ອບໍ່ດົນມານີ້. ຢ່າງໃດກໍຕາມ, ການນໍາໃຊ້ເຄື່ອງມືດໍາລົງຊີວິດນອກແຜ່ນດິນເພື່ອຫຼີກເວັ້ນການຖືກກວດພົບໂດຍ antivirus (ເປີດໃນແຖບໃໝ່) ຫຼື malware (ເປີດໃນແຖບໃໝ່) ການບໍລິການດ້ານການປົກປ້ອງແມ່ນ "ທົ່ວໄປທີ່ສຸດ" ໃນທຸກວັນນີ້, ການພິມເຜີຍແຜ່ສະຫຼຸບ, ຮຽກຮ້ອງໃຫ້ທຸລະກິດກວດສອບການຄວບຄຸມຄວາມປອດໄພຂອງເຂົາເຈົ້າແລະລະມັດລະວັງກັບການຕິດຕາມວິທີການປະຕິບັດທີ່ຖືກຕ້ອງ (ab) ຖືກນໍາໃຊ້.

ເຖິງແມ່ນວ່າ Cobalt Strike ເປັນເຄື່ອງມືທີ່ຖືກຕ້ອງຕາມກົດຫມາຍ, ຖືກນໍາໃຊ້ສໍາລັບການທົດສອບການເຈາະ, ມັນໄດ້ຂະຫຍາຍຕົວຂ້ອນຂ້າງ infamous ຍ້ອນວ່າມັນຖືກຂົ່ມເຫັງໂດຍນັກຂົ່ມຂູ່ຢູ່ທົ່ວທຸກແຫ່ງ. ມັນມາພ້ອມກັບບັນຊີລາຍຊື່ທີ່ກວ້າງຂວາງຂອງລັກສະນະທີ່ອາດຊະຍາກອນທາງອິນເຕີເນັດສາມາດໃຊ້ເພື່ອວາງແຜນເຄືອຂ່າຍເປົ້າໝາຍ, ບໍ່ໄດ້ກວດພົບ, ແລະເຄື່ອນຍ້າຍໄປຂ້າງໜ້າຜ່ານຈຸດສິ້ນສຸດ, ຍ້ອນວ່າພວກເຂົາກະກຽມທີ່ຈະລັກຂໍ້ມູນ ແລະນຳໃຊ້ ransomware.

ຖະຫນົນ: BleepingComputer (ເປີດໃນແຖບໃໝ່)

ແຫຼ່ງຂໍ້ມູນ

Post ທີ່ຜ່ານມາ

Post ຕໍ່ໄປ

Keep Calm and Stay Smart

08:35

ທີມງານຂອງພວກເຮົາທົດສອບຢ່າງເປັນມືອາຊີບຫຼາຍຮ້ອຍຊອບແວ, ບໍລິການ ແລະຍຸດທະສາດທຸລະກິດໃນແຕ່ລະປີຜ່ານທີ່ປຶກສາຂອງພວກເຮົາເອງ ແລະຄະນະຜູ້ນໍາທຸລະກິດ.

ພວກເຮົາເລືອກເອົາການແກ້ໄຂຢ່າງເຂັ້ມງວດພຽງແຕ່ດ້ວຍອັດຕາສ່ວນຜົນປະໂຫຍດສູງສຸດທີ່ງ່າຍຕໍ່ການໃຊ້, ຜູ້ທີ່ປະສົມປະສານຢ່າງເຫມາະສົມເຂົ້າໄປໃນປະເພດຂອງອົງການໃດກໍ່ຕາມແລະປະກອບມີລັກສະນະຊັ້ນນໍາເພື່ອຮັບປະກັນໃຫ້ທ່ານຢູ່ເທິງສຸດຂອງພາກທຸລະກິດຂອງທ່ານ.

Windows Defender ຖືກແຮັກເພື່ອນຳໃຊ້ ransomware ອັນຕະລາຍນີ້

ຊອບແວທີ່ຕ້ອງມີໃນປີ 2024

ປະເພດອັນດັບ

ຄຳ ຕິຊົມຫຼ້າສຸດ

ວິດີໂອຕົວຢ່າງຂອງ Samsung Galaxy Z Flip 5, ກ່ອນເຫດການ Galaxy Unpacked, ສະແດງໃຫ້ເຫັນການອອກແບບ Hinge ໃຫມ່, ທາງເລືອກສີ

Twitter ກໍາລັງຈໍາກັດຈໍານວນ DMs ຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບການຢັ້ງຢືນສາມາດສົ່ງໄດ້

ໂທລະສັບ Android ທີ່ຂ້ອຍມັກສາມາດເຮັດສິ່ງທີ່ iPhone 14 Pro Max ຂອງຂ້ອຍເຮັດບໍ່ໄດ້

ChatGPT ສໍາລັບ Android ກໍາລັງເປີດຕົວໃນອາທິດຫນ້າ, ແລະທ່ານສາມາດລົງທະບຽນລ່ວງຫນ້າໄດ້ໃນປັດຈຸບັນ

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A ກັບ Google TV, ລໍາໂພງ 20W ເປີດຕົວໃນປະເທດອິນເດຍ: : ລາຄາ, ຂໍ້ມູນຈໍາເພາະ

ແບດເຕີລີ່ທີ່ກິນໄດ້ນີ້ສາມາດພະລັງງານໂລກຂອງການວິນິດໄສແລະພະລັງງານທີ່ຍືນຍົງ