Windows Defender uzlauzts, lai izvietotu šo bīstamo izspiedējprogrammatūru

Pētnieki atklājuši, ka Log4j ievainojamības tagad tiek izmantotas, lai izvietotu Cobalt Strike bākas, izmantojot Windows Defender komandrindas rīku.

Kiberdrošības pētnieki no Sentinel Labs nesen pamanīja jaunu metodi, ko izmantoja nezināms apdraudējuma dalībnieks, un gala rezultāts bija LockBit 3.0 izpirkuma programmatūras izvietošana.

Tas darbojas šādi: apdraudējuma dalībnieks izmanto log4shell (kā tiek saukts Log4j nulles diena), lai piekļūtu mērķa galapunktam un iegūtu nepieciešamās lietotāja privilēģijas. Kad tas vairs nebūs iespējams, viņi izmantos PowerShell, lai lejupielādētu trīs atsevišķus failus: Windows CL utilītas failu (tīru), DLL failu (mpclient.dll) un LOG failu (faktisko Cobalt Strike bāksignālu).

Sānu ielāde Cobalt Strike

Pēc tam viņi palaistu MpCmdRun.exe — komandrindas utilītu, kas veic dažādus Microsoft Defender uzdevumus. Šī programma parasti ielādēs likumīgu DLL failu — mpclient.dll, kas tai ir nepieciešams pareizi palaist. Taču šajā gadījumā programma ielādēs tāda paša nosaukuma ļaunprātīgu DLL, kas lejupielādēts kopā ar programmu.

Šim DLL būs LOG faila ielāde un šifrēta Cobalt Strike lietderīgā slodze.

Tā ir metode, kas pazīstama kā sānu ielāde.

Parasti šis LockBit saistītais uzņēmums izmantoja VMware komandrindas rīkus, lai ielādētu Cobalt Strike bākas, BlepingComputer saka, tāpēc pāreja uz Windows Defender ir nedaudz neparasta. Izdevums spekulē, ka izmaiņas tika veiktas, lai apietu mērķtiecīgu aizsardzību, ko nesen ieviesa VMware. Tomēr, izmantojot ārzemēs dzīvojošus rīkus, lai izvairītos no antivīrusa atklāšanas (atveras jaunā cilnē) vai ļaunprātīgu programmatūru (atveras jaunā cilnē) aizsardzības pakalpojumi mūsdienās ir “ļoti izplatīti”, secināts publikācijā, mudinot uzņēmumus pārbaudīt savas drošības kontroles un būt modriem, izsekojot, kā tiek (ļaunprātīgi) izmantoti likumīgi izpildāmie faili.

Lai gan Cobalt Strike ir likumīgs rīks, ko izmanto iespiešanās pārbaudēm, tas ir kļuvis diezgan bēdīgi slavens, jo visur to ļaunprātīgi izmanto apdraudējuma dalībnieki. Tam ir iekļauts plašs funkciju saraksts, ko kibernoziedznieki var izmantot, lai kartētu mērķa tīklu, neatklāti un pārvietotos uz sāniem pa galapunktiem, gatavojoties datu nozagšanai un izspiedējprogrammatūras izvietošanai.

Izmantojot: BlepingComputer (atveras jaunā cilnē)

avots

iepriekšējā Post

Windows Defender uzlauzts, lai izvietotu šo bīstamo izspiedējprogrammatūru

Obligāta programmatūra 2024. gadā

Populārākās kategorijas

Jaunākās atsauksmes

Samsung Galaxy Z Flip 5 Teaser Video, pirms Galaxy Unpacked Event, parāda jaunu eņģes dizainu, krāsu opcijas

Twitter ierobežo to DM skaitu, ko var nosūtīt nepārbaudīti lietotāji

Mans iecienītākais Android tālrunis spēj paveikt to, ko mans iPhone 14 Pro Max nespēj

ChatGPT Android ierīcēm tiks palaista nākamnedēļ, un jūs varat iepriekš reģistrēties jau tagad

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A ar Google TV, 20W skaļruņi, kas laisti tirgū Indijā: : Cena, specifikācijas

Šis ēdamais akumulators varētu nodrošināt diagnostikas un ilgtspējīgas enerģijas pasauli