Windows Defender hackerom nasadil tento nebezpečný ransomvér

Zraniteľnosť Log4j sa teraz používa na nasadenie majákov Cobalt Strike prostredníctvom nástroja príkazového riadka Windows Defender, zistili výskumníci.

Výskumníci v oblasti kybernetickej bezpečnosti zo Sentinel Labs si nedávno všimli novú metódu, ktorú použil neznámy aktér hrozieb, pričom konečnou hrou bolo nasadenie ransomvéru LockBit 3.0.

Funguje to takto: aktér hrozby využije log4shell (ako sa Log4j zero-day nazýva) na získanie prístupu k cieľovému koncovému bodu a získanie potrebných používateľských privilégií. Akonáhle to prekáža, použijú PowerShell na stiahnutie troch samostatných súborov: súbor pomôcky Windows CL (čistý), súbor DLL (mpclient.dll) a súbor LOG (skutočný maják Cobalt Strike).

Bočné nakladanie Cobalt Strike

Potom by spustili MpCmdRun.exe, nástroj príkazového riadka, ktorý vykonáva rôzne úlohy pre program Microsoft Defender. Tento program zvyčajne načíta legitímny súbor DLL – mpclient.dll, ktorý potrebuje na správne spustenie. Ale v tomto prípade by program načítal škodlivú knižnicu DLL s rovnakým názvom, stiahnutú spolu s programom.

Táto knižnica DLL načíta súbor LOG a dešifruje zašifrovaný obsah Cobalt Strike.

Je to metóda známa ako bočné zaťaženie.

Zvyčajne táto pridružená spoločnosť LockBit používala nástroje príkazového riadku VMware na bočné načítanie majákov Cobalt Strike, BleepingComputer hovorí, takže prechod na Windows Defender je trochu nezvyčajný. Publikácia špekuluje, že zmena bola vykonaná s cieľom obísť cielené ochrany, ktoré VMware nedávno predstavil. Napriek tomu používame nástroje žijúce mimo krajiny, aby sme sa vyhli detekcii antivírusom (otvorí sa na novej karte) alebo malware (otvorí sa na novej karte) Ochranné služby sú v súčasnosti „extrémne bežné“, uzatvára publikácia a vyzýva podniky, aby skontrolovali svoje bezpečnostné kontroly a boli ostražití pri sledovaní toho, ako sa (zne)užívajú legitímne spustiteľné súbory.

Aj keď je Cobalt Strike legitímny nástroj, ktorý sa používa na penetračné testovanie, stal sa dosť neslávne známym, pretože ho všade aktéri hrozieb zneužívajú. Dodáva sa s rozsiahlym zoznamom funkcií, ktoré môžu kybernetickí zločinci použiť na zmapovanie cieľovej siete, nezistenej a laterálneho presunu medzi koncovými bodmi, keď sa pripravujú na krádež údajov a nasadenie ransomvéru.

cez: BleepingComputer (otvorí sa na novej karte)

zdroj

Predchádzajúci príspevok

nasledujúci príspevok

Windows Defender hackerom nasadil tento nebezpečný ransomvér

Softvér, ktorý musíte mať v roku 2024

Najlepšie kategórie

Najnovšie recenzie

Video ukážky Samsung Galaxy Z Flip 5, pred udalosťou rozbalenia Galaxy, predvádza nový dizajn pántov, farebné možnosti

Twitter obmedzuje počet správ, ktoré môžu posielať neoverení používatelia

Môj obľúbený telefón s Androidom dokáže veci, ktoré môj iPhone 14 Pro Max nedokáže

ChatGPT pre Android sa spúšťa budúci týždeň a teraz sa môžete predbežne zaregistrovať

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A S Google TV, 20W reproduktormi Uvedenie na trh v Indii: : Cena, Špecifikácie

Táto jedlá batéria by mohla poháňať svet diagnostiky a udržateľnej energie