与 LockBit 3.0 勒索软件操作相关的威胁行为者正在滥用 Windows Defender 命令行工具在受感染的系统上加载 Cobalt Strike 信标并逃避安全软件的检测。

Cobalt Strike 是一个合法的渗透测试套件,具有广泛的功能,在威胁参与者中很受欢迎,可以在窃取数据和加密数据之前执行隐蔽的网络侦察和横向移动。

然而,安全解决方案在检测 Cobalt Strike 信标方面变得更好,导致威胁参与者寻找创新的方法来部署工具包。

US govt warns Americans of escalating SMS phishing attacks

在最近发生的 LockBit 勒索软件攻击事件响应案例中,Sentinel Labs的研究人员注意到Microsoft Defender 的命令行工具“MpCmdRun.exe”被滥用来侧载恶意 DLL,以解密和安装 Cobalt Strike 信标。

在这两种情况下,最初的网络入侵都是通过利用易受攻击的 VMWare Horizo​​n Server上的 Log4j 漏洞 来运行 PowerShell 代码来进行的。

在受感染的系统上侧载 Cobalt Strike 信标对于 LockBit 来说并不新鲜,因为有报道称类似的感染链依赖于滥用VMware 命令行实用程序。

滥用 Microsoft Defender

在建立对目标系统的访问权限并获得所需的用户权限后,威胁参与者使用 PowerShell 下载三个文件:Windows CL 实用程序的干净副本、DLL 文件和 LOG 文件。

MpCmdRun.exe 是一个用于执行 Microsoft Defender 任务的命令行实用程序,它支持扫描恶意软件、收集信息、还原项目、执行诊断跟踪等命令。

执行时,MpCmdRun.exe 将加载一个名为“mpclient.dll”的合法 DLL,这是程序正常运行所必需的。

在 SentinelLabs 分析的案例中,攻击者创建了自己的mpclient.dll武器化版本,并将其放置在优先加载恶意版本 DLL 文件的位置。

微软签名的滥用可执行文件 (Sentinel Labs)

微软签名的滥用可执行文件 (Sentinel Labs)

执行的代码从“c0000015.log”文件加载和解密加密的 Cobalt Strike 有效载荷,该文件与攻击早期阶段的其他两个文件一起丢弃。

LockBit 3.0 攻击链 (Sentinel Labs)

LockBit 3.0 攻击链 (Sentinel Labs)

虽然目前尚不清楚 LockBit 附属公司为何从 VMware 切换到 Windows Defender 命令行工具以侧载 Cobalt Strike 信标,但可能是为了绕过针对先前方法实施的针对性保护。

如今,使用“离地而生”的工具来逃避 EDR 和 AV 检测非常普遍;因此,组织需要检查他们的安全控制,并对跟踪可能被攻击者使用的合法可执行文件的使用保持警惕。

Tags: none

我有个想法