Windows Defender je vdrl zaradi uvedbe te nevarne izsiljevalske programske opreme

Raziskovalci so ugotovili, da se ranljivosti Log4j zdaj uporabljajo za uvajanje svetilnikov Cobalt Strike prek orodja ukazne vrstice Windows Defender.

Raziskovalci kibernetske varnosti iz laboratorijev Sentinel Labs so nedavno opazili novo metodo, ki jo je uporabil neznan akter grožnje, pri čemer je bila končna igra uvedba izsiljevalske programske opreme LockBit 3.0.

Deluje takole: povzročitelj grožnje bi uporabil log4shell (kot se poimenuje Log4j zero-day), da bi pridobil dostop do ciljne končne točke in pridobil potrebne uporabniške privilegije. Ko bi to odpravili, bi uporabili PowerShell za prenos treh ločenih datotek: datoteke pripomočka Windows CL (čista), datoteke DLL (mpclient.dll) in datoteke LOG (dejanski svetilnik Cobalt Strike).

Cobalt Strike s stranskim polnjenjem

Nato bi zagnali MpCmdRun.exe, pripomoček ukazne vrstice, ki izvaja različne naloge za Microsoft Defender. Ta program bi običajno naložil zakonito datoteko DLL – mpclient.dll, ki jo mora pravilno zagnati. Toda v tem primeru bi program naložil istoimenski zlonamerni DLL, prenesen skupaj s programom.

Ta DLL bo naložil datoteko LOG in dešifriral šifrirano koristno vsebino Cobalt Strike.

To je metoda, znana kot stransko nalaganje.

Običajno je ta podružnica LockBita uporabljala orodja ukazne vrstice VMware za stransko nalaganje svetilnikov Cobalt Strike, BleepingComputer pravi, zato je prehod na Windows Defender nekoliko nenavaden. Publikacija špekulira, da je bila sprememba izvedena, da bi se izognili ciljnim zaščitam, ki jih je VMware nedavno predstavil. Kljub temu z uporabo orodij za življenje zunaj zemlje, da se izognemo temu, da bi jih zaznal protivirusni program (odpre se v novem zavihku) ali zlonamerno programsko opremo (odpre se v novem zavihku) Zaščitne storitve so dandanes "izjemno pogoste", zaključuje publikacija, ki podjetja poziva, naj preverijo svoje varnostne kontrole in naj bodo pozorna pri sledenju, kako se zakonite izvedljive datoteke (zlo)rabljajo.

Čeprav je Cobalt Strike legitimno orodje, ki se uporablja za testiranje penetracije, je postalo precej razvpito, saj ga zlorabljajo akterji groženj povsod. Na voljo je z obširnim seznamom funkcij, ki jih lahko kibernetski kriminalci uporabijo za preslikavo ciljnega omrežja, neodkrito, in premikanje bočno po končnih točkah, ko se pripravljajo na krajo podatkov in uvedbo izsiljevalske programske opreme.

Via: BleepingComputer (odpre se v novem zavihku)

vir

prejšnja Post

Naslednja objava

Windows Defender je vdrl zaradi uvedbe te nevarne izsiljevalske programske opreme

Programska oprema, ki jo morate imeti v letu 2024

Najboljše kategorije

Najnovejša mnenja

Samsung Galaxy Z Flip 5 Teaser Video, pred dogodkom Galaxy Unpacked, prikazuje nov dizajn tečajev, barvne možnosti

Twitter omejuje število DM-jev, ki jih lahko pošljejo nepreverjeni uporabniki

Moj najljubši telefon Android zmore stvari, ki jih moj iPhone 14 Pro Max ne zmore

ChatGPT za Android bo na voljo naslednji teden in zdaj se lahko vnaprej registrirate

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A z Google TV, 20 W zvočniki predstavljeni v Indiji: : Cena, Specifikacije

Ta užitna baterija bi lahko poganjala svet diagnostike in trajnostne energije