Ransomware LockBit abusa do Windows Defender para carregar Cobalt Strike.

Ransomware LockBit abusa do Windows Defender para carregar Cobalt Strike. Comprometimento inicial da rede explorou a falha do Log4j.

Um agente de ameaças associado à operação de ransomware LockBit 3.0 está abusando da ferramenta de linha de comando do Windows Defender para carregar beacons Cobalt Strike em sistemas comprometidos e evitar a detecção pelo software de segurança.

O Cobalt Strike é um conjunto de testes de penetração legítimo com recursos extensivos populares entre os agentes de ameaças para realizar reconhecimento de rede furtivo e movimento lateral antes de roubar dados e criptografá-los.

No entanto, as soluções de segurança tornaram-se melhores na detecção de beacons Cobalt Strike, fazendo com que os agentes de ameaças procurem maneiras inovadoras de implantar o kit de ferramentas.

Em um caso recente de resposta a incidente para um ataque de ransomware LockBit, pesquisadores do Sentinel Labs notaram o abuso da ferramenta de linha de comando do Microsoft Defender “MpCmdRun.exe” para carregar DLLs maliciosas que descriptografam e instalam beacons Cobalt Strike.

O comprometimento inicial da rede em ambos os casos foi conduzido explorando uma falha do Log4j em VMWare Horizon Servers vulneráveis  ​​para executar o código do PowerShell.

Os beacons Cobalt Strike de carregamento lateral em sistemas comprometidos não são novidade para o LockBit, pois há relatos sobre cadeias de infecção semelhantes que dependem do abuso de utilitários de linha de comando VMware .

Abusando do Microsoft Defender

Depois de estabelecer acesso a um sistema de destino e obter os privilégios de usuário necessários, os agentes de ameaças usam o PowerShell para baixar três arquivos: uma cópia limpa de um utilitário CL do Windows, um arquivo DLL e um arquivo LOG.

MpCmdRun.exe é um utilitário de linha de comando para executar tarefas do Microsoft Defender e oferece suporte a comandos para verificar malware, coletar informações, restaurar itens, executar rastreamento de diagnóstico e muito mais.

Quando executado, o MpCmdRun.exe carregará uma DLL legítima chamada “mpclient.dll”, necessária para que o programa funcione corretamente.

No caso analisado pelo SentinelLabs, os agentes de ameaças criaram sua própria versão armada do mpclient.dll e a colocaram em um local que prioriza o carregamento da versão maliciosa do arquivo DLL. 

Executável abusado assinado pela Microsoft (Sentinel Labs)

O código executado carrega e descriptografa uma carga útil criptografada do Cobalt Strike do arquivo “c0000015.log”, descartado junto com os outros dois arquivos do estágio anterior do ataque.

Cadeia de ataque LockBit 3.0 (Sentinel Labs)

Embora não esteja claro por que a afiliada da LockBit mudou das ferramentas de linha de comando do VMware para o Windows Defender para carregar os beacons Cobalt Strike, pode ser para ignorar as proteções direcionadas implementadas em resposta ao método anterior.

Usar ferramentas de “viver da terra” para evitar a detecção de EDR e AV é extremamente comum nos dias de hoje; portanto, as organizações precisam verificar seus controles de segurança e mostrar vigilância ao rastrear o uso de executáveis ​​legítimos que podem ser usados ​​por invasores.

Fonte: BleepingComputer

Veja também:

 

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!