Windows Defender зламано, щоб розгорнути це небезпечне програмне забезпечення-вимагач

Дослідники виявили, що уразливості Log4j тепер використовуються для розгортання маяків Cobalt Strike через інструмент командного рядка Windows Defender.

Дослідники з кібербезпеки з Sentinel Labs нещодавно помітили новий метод, застосований невідомим загрозником, кінцевим результатом якого було розгортання програми-вимагача LockBit 3.0.

Це працює так: суб’єкт загрози використовує log4shell (як називають Log4j zero-day), щоб отримати доступ до цільової кінцевої точки та отримати необхідні привілеї користувача. Коли це буде усунено, вони використають PowerShell для завантаження трьох окремих файлів: файл утиліти Windows CL (чистий), файл DLL (mpclient.dll) і файл LOG (справжній маяк Cobalt Strike).

Cobalt Strike з боковим завантаженням

Потім вони запустять MpCmdRun.exe, утиліту командного рядка, яка виконує різні завдання для Microsoft Defender. Ця програма зазвичай завантажує законний файл DLL – mpclient.dll, який їй потрібен для правильного запуску. Але в цьому випадку програма завантажить однойменну шкідливу DLL, завантажену разом із програмою.

Ця DLL завантажуватиме файл LOG і розшифровуватиме зашифроване корисне навантаження Cobalt Strike.

Це метод, відомий як бокове завантаження.

Зазвичай ця афілійована компанія LockBit використовувала інструменти командного рядка VMware для бокового завантаження маяків Cobalt Strike, BleepingComputer каже, тому перехід на Windows Defender є дещо незвичним. Видання припускає, що зміна була зроблена, щоб обійти цільовий захист, який нещодавно представила VMware. Тим не менш, використання живих поза межами землі інструментів, щоб уникнути виявлення антивірусом (відкривається в новій вкладці) або зловмисне програмне забезпечення (відкривається в новій вкладці) Служби захисту є «надзвичайно поширеними» в наші дні, робить висновок публікація, закликаючи компанії перевіряти свої засоби контролю безпеки та бути пильними, відстежуючи, як (зловживають) використовуються законні виконувані файли.

Незважаючи на те, що Cobalt Strike є законним інструментом, який використовується для тестування на проникнення, він став досить сумно відомим, оскільки ним зловживають зловмисники скрізь. Він поставляється з широким списком функцій, які кіберзлочинці можуть використовувати для визначення цільової мережі непоміченим і переміщення між кінцевими точками, коли вони готуються до викрадення даних і розгортання програм-вимагачів.

Вулиця: BleepingComputer (відкривається в новій вкладці)

Source

Попереднє повідомлення

наступне повідомлення

Keep Calm and Stay Smart

08:35

Наша команда щороку професійно тестує сотні програмного забезпечення, послуг і бізнес-стратегій через власних консультантів і групу лідерів бізнесу.

Ми ретельно вибираємо рішення лише з найвищим співвідношенням витрат і вигод, які прості у використанні, які гідно інтегруються в будь-який тип організації та які включають провідні функції, щоб ви залишалися на вершині свого бізнес-сектору.

Windows Defender зламано, щоб розгорнути це небезпечне програмне забезпечення-вимагач

Обов’язкове програмне забезпечення в 2024 році

Топ категорії

Останні огляди

Відео-тизер Samsung Galaxy Z Flip 5, напередодні події Galaxy Unpacked, демонструє новий дизайн шарнірів, варіанти кольорів

Twitter обмежує кількість DM, які можуть надсилати неперевірені користувачі

Мій улюблений телефон Android може робити те, що не може мій iPhone 14 Pro Max

ChatGPT для Android буде запущено наступного тижня, і ви можете попередньо зареєструватися вже зараз

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A з Google TV, динаміки 20 Вт, представлені в Індії: Ціна, характеристики

Ця їстівна батарея може стати джерелом енергії для світу діагностики та сталої енергетики