Поделиться
Киберпреступники научились атаковать ПК с помощью антивируса Windows Defender
Утилита командной строки Windows Defender используется для побочной загрузки модифицированной DLL-библиотеки, производящей дешифровку вредоноса.
И снова побочная загрузка
Некие злоумышленники - партнёры RaaS-шифровальщика LockBit 3.0 - используют инструмент командной строки в Windows Defender для подгрузки в систему маяков Cobalt Strike.
Как выяснили эксперты компании SentinelOne, злоумышленники используют MpCmdRun.exe для расшифровки и загрузки Cobalt Strike, коммерческого инструмента для пентестирования, которым активно пользуется киберкриминал.
Использование Windows Defender - это лишь один из этапов атаки. Начинается она с компрометации систем VMWare Horizon Server, на которые не установлено исправление к уязвимости Log4j. Злоумышленники модифицировали компонент Horizon под названием Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.
После первичного проникновения в систему злоумышленники пытаются запустить серию команд и пытаются запустить ряд инструментов пост-эксплуатации, в том числе Meterpreter и Empire (PowerShell Empire, если быть точными).
После получения необходимых привилегий злоумышленники скачивают с контрольного сервера на скомпрометированную систему вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент - в форме MpCmdRun.exe.
Файл MpCmdRun.exe - абсолютно легитимный, снабжён рабочей цифровой подписью. Но вместе с ним скачиваетсяmpclient.dll - это модифицированная злоумышленниками библиотека, которую MpCmdRun.exe автоматически загружает и с помощью которой расшифровывает основное тело активного элемента (payload) Cobalt Strike, скрытое в файле C0000015.log.
Легитимный инструмент
«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты "living off the land" - т.е. легитимные локальные средства - для подгрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», - говорится в публикации SentinelOne.
В конце апреля исследователи Sentinel отмечали, что операторы LockBit пытаются использовать другую утилиту - VMwareXferlogs.exe - с той же целью, то есть, для подгрузки маяков Cobalt Strike. VMwareXferlogs.exe - это легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX.
Для этого также используется вредоносный DLL-файл, который позволяет обходить защитные инструменты виртуализированной системы, в том числе, детектирующие вредоносы по их поведению. Эксперты подозревали, что функциональность побочной загрузки реализована не основными операторами LockBit, а именно партнёрами.
«Living off the land, на самом деле, не новая методика, просто она не так часто применяется, хотя нередко даёт положительные для злоумышленников результаты, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - В данном случае использование LOTL становится возможным лишь потому, что атакуемая система уже скомпрометирована через старую, заметим, уязвимость».
Поделиться
Короткая ссылка
