Zraniteľnosť Log4j sa teraz používa na nasadenie majákov Cobalt Strike prostredníctvom nástroja príkazového riadka Windows Defender, zistili výskumníci.
Výskumníci v oblasti kybernetickej bezpečnosti zo Sentinel Labs si nedávno všimli novú metódu, ktorú použil neznámy aktér hrozieb, pričom konečnou hrou bolo nasadenie ransomvéru LockBit 3.0.
Funguje to takto: aktér hrozby využije log4shell (ako sa Log4j zero-day nazýva) na získanie prístupu k cieľovému koncovému bodu a získanie potrebných používateľských privilégií. Akonáhle to prekáža, použijú PowerShell na stiahnutie troch samostatných súborov: súbor pomôcky Windows CL (čistý), súbor DLL (mpclient.dll) a súbor LOG (skutočný maják Cobalt Strike).
Bočné nakladanie Cobalt Strike
Potom by spustili MpCmdRun.exe, nástroj príkazového riadka, ktorý vykonáva rôzne úlohy pre program Microsoft Defender. Tento program zvyčajne načíta legitímny súbor DLL – mpclient.dll, ktorý potrebuje na správne spustenie. Ale v tomto prípade by program načítal škodlivú knižnicu DLL s rovnakým názvom, stiahnutú spolu s programom.
Táto knižnica DLL načíta súbor LOG a dešifruje zašifrovaný obsah Cobalt Strike.
Je to metóda známa ako bočné zaťaženie.
Zvyčajne táto pridružená spoločnosť LockBit používala nástroje príkazového riadku VMware na bočné načítanie majákov Cobalt Strike, BleepingComputer hovorí, takže prechod na Windows Defender je trochu nezvyčajný. Publikácia špekuluje, že zmena bola vykonaná s cieľom obísť cielené ochrany, ktoré VMware nedávno predstavil. Napriek tomu používame nástroje žijúce mimo krajiny, aby sme sa vyhli detekcii antivírusom (otvorí sa na novej karte) alebo malware (otvorí sa na novej karte) Ochranné služby sú v súčasnosti „extrémne bežné“, uzatvára publikácia a vyzýva podniky, aby skontrolovali svoje bezpečnostné kontroly a boli ostražití pri sledovaní toho, ako sa (zne)užívajú legitímne spustiteľné súbory.
Aj keď je Cobalt Strike legitímny nástroj, ktorý sa používa na penetračné testovanie, stal sa dosť neslávne známym, pretože ho všade aktéri hrozieb zneužívajú. Dodáva sa s rozsiahlym zoznamom funkcií, ktoré môžu kybernetickí zločinci použiť na zmapovanie cieľovej siete, nezistenej a laterálneho presunu medzi koncovými bodmi, keď sa pripravujú na krádež údajov a nasadenie ransomvéru.
cez: BleepingComputer (otvorí sa na novej karte)