Araştırmacılar, Log4j güvenlik açıklarının artık Windows Defender komut satırı aracı aracılığıyla Cobalt Strike işaretlerini dağıtmak için kullanıldığını buldu.
Sentinel Labs’den siber güvenlik araştırmacıları, yakın zamanda, bilinmeyen bir tehdit aktörü tarafından kullanılan ve oyunun sonu LockBit 3.0 fidye yazılımının konuşlandırılması olan yeni bir yöntem keşfetti.
Şu şekilde çalışır: tehdit aktörü, bir hedef uç noktaya erişim elde etmek ve gerekli kullanıcı ayrıcalıklarını elde etmek için log4shell’den (Log4j sıfır-gün olarak adlandırılan) yararlanır. Bu ortadan kalktığında, üç ayrı dosyayı indirmek için PowerShell’i kullanırlardı: bir Windows CL yardımcı programı dosyası (temiz), bir DLL dosyası (mpclient.dll) ve bir LOG dosyası (gerçek Cobalt Strike işaretçisi).
Yandan Yüklemeli Kobalt Vuruşu
Ardından, Microsoft Defender için çeşitli görevleri gerçekleştiren bir komut satırı yardımcı programı olan MpCmdRun.exe’yi çalıştırırlar. Bu program genellikle meşru bir DLL dosyası yükler – mpclient.dll, düzgün çalışması gerekir. Ancak bu durumda program, programla birlikte indirilen aynı ada sahip kötü amaçlı bir DLL dosyasını yükler.
Bu DLL, LOG dosyasını yükler ve şifreli bir Cobalt Strike yükünün şifresini çözer.
Yandan yükleme olarak bilinen bir yöntemdir.
Genellikle bu LockBit iştiraki, Cobalt Strike işaretlerini yandan yüklemek için VMware’in komut satırı araçlarını kullandı. BleeBilgisayar diyor, bu yüzden Windows Defender’a geçiş biraz sıra dışı. Yayın, değişikliğin VMware’in yakın zamanda tanıttığı hedefli korumaları atlamak için yapıldığını tahmin ediyor. Yine de, antivirüs tarafından algılanmaktan kaçınmak için arazi dışında yaşayan araçları kullanmak (yeni sekmede açılır) veya kötü amaçlı yazılım (yeni sekmede açılır) Koruma hizmetlerinin bu günlerde “son derece yaygın” olduğu sonucuna varan yayın, işletmeleri güvenlik kontrollerini kontrol etmeye ve meşru yürütülebilir dosyaların (ab) nasıl kullanıldığını takip etme konusunda dikkatli olmaya çağırıyor.
Cobalt Strike, penetrasyon testi için kullanılan meşru bir araç olsa da, her yerde tehdit aktörleri tarafından kötüye kullanıldığı için oldukça kötü bir üne kavuştu. Siber suçluların, verileri çalmaya ve fidye yazılımı dağıtmaya hazırlanırken, tespit edilmeden hedef ağı haritalamak ve uç noktalar arasında yanal olarak hareket etmek için kullanabilecekleri kapsamlı bir özellik listesiyle birlikte gelir.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
