Die Log4j-Schwachstellen werden jetzt verwendet, um Cobalt Strike-Beacons über das Windows Defender-Befehlszeilentool bereitzustellen, fanden Forscher heraus.
Cybersicherheitsforscher von Sentinel Labs haben kürzlich eine neue Methode entdeckt, die von einem unbekannten Bedrohungsakteur eingesetzt wird, dessen ultimatives Ziel der Einsatz von LockBit 3.0-Ransomware ist.
Es funktioniert so: Der Angreifer würde log4shell (wie Log4j Zero-Day genannt wird) verwenden, um auf einen Zielendpunkt zuzugreifen und die erforderlichen Benutzerrechte zu erhalten. Danach würden sie PowerShell verwenden, um drei separate Dateien herunterzuladen: eine Windows CL-Dienstprogrammdatei (sauber), eine DLL-Datei (mpclient.dll) und eine LOG-Datei (das eigentliche Cobalt Strike-Beacon).
Seitlich aufladender Kobaltschlag
Sie würden dann MpCmdRun.exe ausführen, ein Befehlszeilendienstprogramm, das verschiedene Aufgaben für Microsoft Defender ausführt. Dieses Programm lädt normalerweise eine legitime DLL-Datei: mpclient.dll, die es braucht, um richtig zu laufen. Aber in diesem Fall würde das Programm eine bösartige DLL mit demselben Namen laden, die zusammen mit dem Programm heruntergeladen wird.
Diese DLL lädt die LOG-Datei und entschlüsselt eine verschlüsselte Cobalt Strike-Nutzlast.
Dies ist eine Methode, die als seitliches Laden bekannt ist.
Diese LockBit-Tochter nutzte in der Regel die Befehlszeilentools von VMware, um Cobalt Strike-Tags zu übertragen, sagt BleepingComputer, daher sei der Wechsel zu Windows Defender etwas ungewöhnlich. Der Beitrag geht davon aus, dass die Änderung vorgenommen wurde, um bestimmte Schutzmaßnahmen zu umgehen, die VMware kürzlich eingeführt hat. Der Einsatz von Tools, die außerhalb des Bodens leben, um der Erkennung durch Virenschutzdienste (öffnet sich in einem neuen Tab) oder Malware (öffnet sich in einem neuen Tab) zu entziehen, sei heutzutage jedoch „äußerst verbreitet“, schließt er den Beitrag ab und fordert Unternehmen dazu auf Überprüfen Sie ihre Sicherheitskontrollen und überwachen Sie aufmerksam, wie legitime ausführbare Dateien verwendet (missbraucht) werden.
Obwohl Cobalt Strike ein legitimes Tool ist, das für Penetrationstests verwendet wird, ist es ziemlich berüchtigt geworden, da es von Bedrohungsakteuren auf der ganzen Welt missbraucht wird. Es verfügt über eine lange Liste von Funktionen, die Cyberkriminelle verwenden können, um das Zielnetzwerk unentdeckt zu kartieren und sich seitlich zwischen Endpunkten zu bewegen, während sie sich darauf vorbereiten, Daten zu stehlen und Ransomware einzusetzen.
Über: BleepingComputer (Öffnet in einem neuen Tab)