سو استفاده LockBit از Windows Defender برای بارگذاری Cobalt Strike
یک عامل تهدید مرتبط با عملیات باج افزار LockBit 3.0 از ابزار کامند لاین Windows Defender برای بارگذاری بیکونهای Cobalt Strike در سیستمهای آسیبدیده و فرار از شناسایی توسط نرمافزار امنیتی سواستفاده میکند.
بدافزار Cobalt Strike یک مجموعه تست نفوذ قانونی با ویژگیهای گسترده است که در بین عوامل تهدید برای انجام شناسایی پنهان شبکه و حرکت جانبی قبل از سرقت دادهها و رمزگذاری آنها، محبوب است.
با این حال، راهحلهای امنیتی در تشخیص بیکونهای Cobalt Strike بهتر شدهاند و عاملان تهدید را وادار میکنند که به دنبال راههای نوآورانه برای استقرار toolkit خود باشند.
در یک مورد اخیر پاسخ حادثه برای یک حمله باج افزار LockBit، محققان در Sentinel Labs متوجه سواستفاده از ابزار کامند لاین Microsoft Defender «MpCmdRun.exe» برای بارگذاری جانبی DLLهای مخربی شدند که بیکونهای Cobalt Strike را رمزگشایی و نصب میکنند.
به خطر انداختن اولیه شبکه در هر دو مورد با بهرهبرداری از یک نقص Log4j در سرورهای آسیبپذیر VMWare Horizon برای اجرای کد PowerShell انجام شد.
بارگذاری جانبی بیکونهای Cobalt Strike در سیستمهای در معرض خطر برای LockBit چیز جدیدی نیست، زیرا گزارشهایی در مورد زنجیرههای آلودگی مشابه با تکیه بر سواستفاده از ابزارهای کامند لاین VMware وجود دارد.
سواستفاده از Microsoft Defender
پس از ایجاد دسترسی به یک سیستم هدف و به دست آوردن اختیارات کاربر مورد نیاز، عوامل تهدید از PowerShell برای بارگیری سه فایل استفاده میکنند: یک کپی تمیز از یک ابزار Windows CL، یک فایل DLL و یک فایل LOG.
مشخصاً MpCmdRun. exe یک ابزار کامند لاین برای انجام وظایف Microsoft Defender است و از دستوراتی برای اسکن بدافزار، جمعآوری اطلاعات، بازیابی موارد مورد نیاز، انجام ردیابی تشخیصی و غیره پشتیبانی میکند.
وقتی که اجرا شد، MpCmdRun.exe یک DLL قانونی به نام «mpclient.dll» را بارگیری میکند که برای عملکرد صحیح برنامه لازم است.
در موردی که توسط SentinelLabs تجزیه و تحلیل شده است، عوامل تهدید نسخه تسلیح شده خود از mpclient.dll را ایجاد کردهاند و آن را در مکانی قرار دادهاند که بارگذاری نسخه مخرب فایل DLL را در اولویت قرار میدهد.
در حالی که مشخص نیست چرا شرکت وابسته LockBit از VMware به ابزارهای کامند لاین Windows Defender برای بارگذاری جانبی بیکونهای Cobalt Strike تغییر رویکرد داده است، ممکن است به دلیل دور زدن حفاظتهای هدفمند اجرا شده در پاسخ به روش قبلی باشد.
استفاده از ابزارهای “living off the land” برای فرار از تشخیص EDR و AV این روزها بسیار رایج است. از این رو سازمانها باید کنترلهای امنیتی خود را بررسی کنند و با ردیابی استفاده از فایلهای اجرایی قانونی که میتوانند توسط مهاجمان استفاده شوند، از خود هوشیاری کافی و وافی را نشان دهند.