Windows Defender е хакиран за да го распореди овој опасен откуп

Пропустите на Log4j сега се користат за распоредување на Beacons на Cobalt Strike преку алатката за командна линија Windows Defender, открија истражувачите.

Истражувачите за сајбер безбедност од Sentinel Labs неодамна забележаа нов метод, користен од непознат актер за закана, при што крајната игра е распоредување на откупниот софтвер LockBit 3.0.

Работи вака: актерот за закана ќе го искористи log4shell (како што е наречен Log4j нултиот ден) за да добие пристап до целната крајна точка и да ги добие потребните кориснички привилегии. Штом тоа не се случи, тие би користеле PowerShell за преземање три посебни датотеки: Windows CL услужна датотека (чиста), датотека DLL (mpclient.dll) и датотека LOG (вистинскиот Cobalt Strike beacon).

Страничен кобалт штрајк

Тие потоа ќе го стартуваат MpCmdRun.exe, алатка за командна линија која извршува различни задачи за Microsoft Defender. Таа програма обично ќе вчита легитимна DLL-датотека - mpclient.dll, која треба правилно да ја извршува. Но, во овој пример, програмата ќе вчита злонамерен DLL со исто име, преземен заедно со програмата.

Тој DLL ќе има оптоварување на датотеката LOG и ќе дешифрира шифрирана носивост на Cobalt Strike.

Тоа е метод познат како странично вчитување.

Обично, оваа подружница на LockBit ги користеше алатките на командната линија на VMware за странично вчитување на светилниците на Cobalt Strike, BleepingComputer вели, така што префрлањето на Windows Defender е нешто невообичаено. Публикацијата шпекулира дека промената е направена за да се заобиколат целните заштити што неодамна ги воведе VMware. Сепак, користење на алатки кои живеат надвор од земјата за да избегнете откривање од антивирус (се отвора во нов таб) или малициозен софтвер (се отвора во нов таб) услугите за заштита се „исклучително вообичаени“ деновиве, заклучува публикацијата, повикувајќи ги бизнисите да ги проверат своите безбедносни контроли и да бидат внимателни при следењето на тоа како се (зло)употребуваат легитимните извршни датотеки.

И покрај тоа што Cobalt Strike е легитимна алатка, која се користи за тестирање на пенетрација, таа е доста озлогласена бидејќи се злоупотребува од актери за закани насекаде. Доаѓа со обемна листа на функции што сајбер-криминалците можат да ги користат за да ја мапираат целната мрежа, неоткриена и да се движат странично низ крајните точки, додека се подготвуваат да украдат податоци и да распоредат откупни софтвери.

Преку: BleepingComputer (се отвора во нов таб)

извор

Назад пост

Нареден пост

Keep Calm and Stay Smart

08:35

Нашиот тим професионално тестира стотици софтвери, услуги и деловни стратегии секоја година преку нашите сопствени консултанти и панел од деловни лидери.

Избираме ригорозни решенија само со највисок сооднос на трошоци и придобивки, кои се лесни за користење, кои пристојно се интегрираат во секаков тип на организација и кои вклучуваат водечки карактеристики за да се осигурате дека ќе останете на врвот на вашиот бизнис сектор.

Windows Defender е хакиран за да го распореди овој опасен откуп

Задолжителен софтвер во 2024 година

Врвни категории

Најнови рецензии

Најава видео на Samsung Galaxy Z Flip 5, пред неотпакуваниот настан на Galaxy, покажува нов дизајн на шарки, опции за боја

Твитер го ограничува бројот на пораки што непроверените корисници можат да ги испраќаат

Мојот омилен Android телефон може да прави работи што не може мојот iPhone 14 Pro Max

ChatGPT за Android започнува следната недела и може да се регистрирате однапред сега

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A With Google TV, 20W звучници лансирани во Индија: : Цена, спецификации

Оваа батерија за јадење може да го напојува светот на дијагностика и одржлива енергија