Защитник Windows был взломан для развертывания этой опасной программы-вымогателя

Защитник Windows был взломан для развертывания этой опасной программы-вымогателя

2 августа 2022 г.

Уязвимости Log4j в настоящее время используются для развертывания маяков Cobalt Strike с помощью инструмента командной строки Защитника Windows. найдено.

Исследователи кибербезопасности из Sentinel Labs недавно обнаружили новый метод, используемый неизвестным злоумышленником, конечным результатом которого стало развертывание LockBit 3.0 программа-вымогатель.

Это работает следующим образом: субъект угрозы использует log4shell (так называют программу нулевого дня Log4j), чтобы получить доступ к цели. конечную точку и получить необходимые права пользователя. После этого они использовали PowerShell для загрузки трех отдельных файлов: служебного файла Windows CL (чистого), файла DLL (mpclient.dll) и файла журнала (настоящего маяка Cobalt Strike).

Cobalt Strike с боковой загрузкой

Затем они запускали MpCmdRun.exe, утилиту командной строки, которая выполняет различные задачи для Microsoft Defender. Эта программа обычно загружает законный файл DLL — mpclient.dll, который необходим ей для корректной работы. Но в этом случае программа загрузит вредоносную DLL с тем же именем, загруженную вместе с программой.

Эта DLL будет иметь файл LOG для загрузки и расшифровки зашифрованной полезной нагрузки Cobalt Strike.

Это метод, известный как боковая загрузка.

Обычно эта дочерняя компания LockBit использовала инструменты командной строки VMware для боковой загрузки маяков Cobalt Strike, сообщает BleepingComputer, поэтому переход на Защитник Windows несколько необычен. В публикации предполагается, что изменение было сделано для обхода целевых средств защиты, которые недавно представила VMware. Тем не менее, используя инструменты, живущие за пределами земли, чтобы избежать обнаружения антивирусом или < Службы защиты href="https://www.techradar.com/best/best-malware-removal" target="_blank">вредоносного ПО в наши дни «чрезвычайно распространены», заключает издание, призывая предприятия проверяйте их элементы управления безопасностью и будьте бдительны, отслеживая, как законные исполняемые файлы (аб)используются.

Несмотря на то, что Cobalt Strike является законным инструментом, используемым для тестирования на проникновение, он стал довольно печально известным, поскольку он используется злоумышленниками. актеры повсюду. Он поставляется с обширным списком функций, которые киберпреступники могут использовать для обнаружения целевой сети, незамеченными и бокового перемещения между конечными точками, поскольку они готовятся к краже данных и развертыванию программ-вымогателей.

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE