LockBit Ransomware Windows’ta Kobalt Strike Enjekte Ediyor


LockBit Ransomware Windows Defender'ı Kötüye Kullanarak Windows'a Kobalt Saldırısı Enjekte Ediyor

Görünüşe göre LockBit son zamanlarda normalden daha fazla ilgi görüyor. Sentinel Labs’deki siber güvenlik uzmanları, Cobalt Strike veri yüklerinin şifresinin Windows Defender kullanılarak bir LockBit 3.0 fidye yazılımı operatörü tarafından çözüldüğünü ve yüklendiğini keşfetti.

Tehdit aktörleri arasında, Cobalt Strike, çok çeşitli özellikler sunan gelişmiş bir penetrasyon testi araçları paketi olarak kabul edilmektedir.

Kobalt Vuruşu işaretlerinin tespiti, modern güvenlik çözümlerinin ortaya çıkmasıyla iyileşti. Araç takımlarını yaratıcı bir şekilde dağıtmak için, tehdit aktörleri bunları dağıtmanın yenilikçi yollarını arıyor.

Kötü amaçlı DLL’leri yandan yüklemek için, tehdit aktörleri Microsoft Defender’ın MPCmdRun.exe komut satırı aracından yararlanıyor.

DÖRT

Rapora göre, LockBit için, güvenliği ihlal edilen sistemlere Cobalt Strike işaretlerinin yandan yüklenmesi yeni bir şey değil. Yakın zamanda, enfeksiyonu yaymak için VMware komut satırı yardımcı programlarının kötüye kullanılmasına dayanan benzer enfeksiyon zincirleri bildirilmiştir.

Saldırı Akışı

Tehdit aktörleri, bir hedef sisteme giriş kazanır kazanmaz üç dosyayı indirmek için PowerShell’i kullanır ve ihtiyaç duydukları kullanıcı ayrıcalıklarını elde edebilirler.

Bu üç dosya şunlardır: –

  • Bir Windows CL yardımcı programı
  • Bir DLL dosyası
  • bir günlük dosyası

Windows Defender’da, bir dizi görevi gerçekleştirmek için kullanılabilen MpCmdRun.exe adlı bir komut satırı yardımcı programı vardır. Aşağıdaki temel görevleri yürütebilir veya gerçekleştirebilir: –

  • Kötü amaçlı yazılım taraması için komutlar
  • Bilgi toplamak
  • Öğeleri geri yükle
  • Tanı izleme gerçekleştirin

MpCmdRun.exe çalıştırılır çalıştırılmaz, programın doğru çalışmasını sağlamak için gerekli olan meşru bir DLL dosyası (mpclient.dll) yüklenecektir.

Bu aşamada, “c00000015.log” dosyasından, daha sonra yürütülen kod tarafından şifresi çözülen şifreli bir Cobalt Strike yükü yüklendi. Saldırının ilk aşamalarında, bu dosyayla birlikte atılan iki dosya daha vardı.

Bu olay, LockBit operatörlerinin VMware’den Windows Defender komut satırı araçlarına geçtiğini gösterir. Ancak tehdit aktörlerinin neden değiştiği henüz belli değil.

Bu günlerde, kullanıcıların bu tür araçlarla EDR ve AV algılamasından kaçınması çok yaygındır, bu nedenle bir kuruluşun güvenlik kontrollerini değerlendirmek son derece önemlidir.

Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.





Source link