Windows Defender zhakowany w celu wdrożenia tego niebezpiecznego oprogramowania ransomware

Badacze odkryli, że luki Log4j są obecnie wykorzystywane do wdrażania sygnałów nawigacyjnych Cobalt Strike za pomocą narzędzia wiersza poleceń Windows Defender.

Badacze cyberbezpieczeństwa z Sentinel Labs zauważyli niedawno nową metodę, zastosowaną przez nieznanego cyberprzestępcę, której efektem końcowym jest wdrożenie ransomware LockBit 3.0.

Działa to w następujący sposób: aktor zagrożenia wykorzystałby log4shell (jak nazywa się Log4j zero-day), aby uzyskać dostęp do docelowego punktu końcowego i uzyskać niezbędne uprawnienia użytkownika. Gdy to już nie będzie możliwe, użyją PowerShell do pobrania trzech oddzielnych plików: pliku narzędziowego Windows CL (czystego), pliku DLL (mpclient.dll) i pliku LOG (rzeczywisty sygnał nawigacyjny Cobalt Strike).

Cobalt Strike ładowany z boku

Następnie uruchomiliby MpCmdRun.exe, narzędzie wiersza poleceń, które wykonuje różne zadania dla programu Microsoft Defender. Ten program zwykle ładuje prawidłowy plik DLL – mpclient.dll, którego potrzebuje do poprawnego działania. Jednak w tym przypadku program ładowałby złośliwą bibliotekę DLL o tej samej nazwie, pobraną razem z programem.

Ta biblioteka DLL będzie ładować plik LOG i odszyfrować zaszyfrowany ładunek Cobalt Strike.

Jest to metoda znana jako ładowanie boczne.

Zwykle ten partner LockBit używał narzędzi wiersza poleceń VMware do bocznego ładowania sygnałów nawigacyjnych Cobalt Strike, BleepingComputer mówi, więc przejście na Windows Defender jest nieco niezwykłe. Publikacja spekuluje, że zmiana została wprowadzona w celu ominięcia ukierunkowanych zabezpieczeń, które ostatnio wprowadziła firma VMware. Mimo to, korzystając z narzędzi żyjących poza terenem, aby uniknąć wykrycia przez program antywirusowy (otwiera się w nowej karcie) lub złośliwe oprogramowanie (otwiera się w nowej karcie) Usługi ochrony są obecnie „niezwykle powszechne”, podsumowuje publikacja, zachęcając firmy do sprawdzania kontroli bezpieczeństwa i zachowania czujności przy śledzeniu, w jaki sposób legalne pliki wykonywalne są wykorzystywane (nad)używane.

Mimo że Cobalt Strike jest legalnym narzędziem, używanym do testów penetracyjnych, jest dość niesławny, ponieważ jest nadużywany przez cyberprzestępców na całym świecie. Zawiera obszerną listę funkcji, które cyberprzestępcy mogą wykorzystać do zmapowania sieci docelowej, niewykrytej i przemieszczania się w bok przez punkty końcowe, przygotowując się do kradzieży danych i wdrażania oprogramowania ransomware.

Via: BleepingComputer (otwiera się w nowej karcie)

Źródło

Poprzedni post

Następny post

Windows Defender zhakowany w celu wdrożenia tego niebezpiecznego oprogramowania ransomware

Niezbędne oprogramowanie w 2024 r.

Najlepsze kategorie

Najnowsze

Samsung Galaxy Z Flip 5 Teaser Video, przed wydarzeniem Galaxy Unpacked, prezentuje nowy projekt zawiasów, opcje kolorystyczne

Twitter ogranicza liczbę wiadomości prywatnych, które niezweryfikowani użytkownicy mogą wysyłać

Mój ulubiony telefon z Androidem potrafi rzeczy, których nie potrafi mój iPhone 14 Pro Max

ChatGPT na Androida zostanie uruchomiony w przyszłym tygodniu i możesz się wstępnie zarejestrować już teraz

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A z Google TV, głośniki 20W wprowadzone na rynek w Indiach: Cena, dane techniczne

Ta jadalna bateria mogłaby zasilić świat diagnostyki i zrównoważonej energii