นักวิจัยค้นพบช่องโหว่ Log4j เพื่อปรับใช้บีคอน Cobalt Strike ผ่านเครื่องมือบรรทัดคำสั่งของ Windows Defender
นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Sentinel Labs ตรวจพบวิธีการใหม่ที่ใช้โดยผู้คุกคามที่ไม่รู้จัก ซึ่งเป้าหมายสูงสุดคือการปรับใช้แรนซัมแวร์ LockBit 3.0
มันทำงานดังนี้: ผู้คุกคามจะใช้ log4shell (ตามที่เรียก Log4j zero-day) เพื่อเข้าถึงปลายทางเป้าหมายและรับสิทธิ์ผู้ใช้ที่จำเป็น เมื่อเสร็จแล้วพวกเขาจะใช้ PowerShell เพื่อดาวน์โหลดไฟล์สามไฟล์แยกกัน: ไฟล์ยูทิลิตี้ Windows CL (ล้างข้อมูล), ไฟล์ DLL (mpclient.dll) และไฟล์ LOG (สัญญาณ Cobalt Strike จริง)
การจู่โจมโคบอลต์ด้านข้าง
จากนั้นพวกเขาจะเรียกใช้ MpCmdRun.exe ซึ่งเป็นโปรแกรมอรรถประโยชน์บรรทัดคำสั่งที่ทำงานต่างๆ สำหรับ Microsoft Defender โปรแกรมนี้มักจะโหลดไฟล์ DLL ที่ถูกต้อง: mpclient.dll ซึ่งจำเป็นต้องทำงานอย่างถูกต้อง แต่ในกรณีนี้ โปรแกรมจะโหลด DLL ที่เป็นอันตรายที่มีชื่อเดียวกัน ซึ่งดาวน์โหลดพร้อมกับโปรแกรม
DLL นี้จะโหลดไฟล์ LOG และถอดรหัสเพย์โหลด Cobalt Strike ที่เข้ารหัส
นี่เป็นวิธีการที่เรียกว่าการโหลดด้านข้าง
โดยทั่วไปแล้ว บริษัทในเครือ LockBit นี้จะใช้เครื่องมือบรรทัดคำสั่งของ VMware เพื่อถ่ายโอนแท็ก Cobalt Strike BleepingComputer กล่าว ดังนั้นการเปลี่ยนไปใช้ Windows Defender จึงค่อนข้างผิดปกติ โพสต์สันนิษฐานว่ามีการเปลี่ยนแปลงเกิดขึ้นเพื่อหลีกเลี่ยงการป้องกันเฉพาะที่ VMware เพิ่งเปิดตัว อย่างไรก็ตาม การใช้เครื่องมือที่อยู่เหนือพื้นดินเพื่อหลีกเลี่ยงการตรวจจับโดยบริการป้องกันไวรัส (เปิดในแท็บใหม่) หรือมัลแวร์ (เปิดในแท็บใหม่) ถือเป็นเรื่อง "ธรรมดามาก" ในปัจจุบัน เขากล่าวสรุป โดยโพสต์เรียกร้องให้บริษัทต่างๆ ตรวจสอบการควบคุมความปลอดภัยและระมัดระวังในการติดตามวิธีการใช้ไฟล์ปฏิบัติการที่ถูกกฎหมาย (ถูกละเมิด)
แม้ว่า Cobalt Strike เป็นเครื่องมือที่ถูกต้องตามกฎหมาย ซึ่งใช้สำหรับการทดสอบการเจาะระบบ แต่ก็กลายเป็นเรื่องอื้อฉาวเนื่องจากถูกทารุณกรรมโดยผู้คุกคามทั่วโลก มันมาพร้อมกับรายการคุณสมบัติมากมายที่อาชญากรไซเบอร์สามารถใช้เพื่อแมปเครือข่ายเป้าหมาย โดยไม่ถูกตรวจจับ และย้ายไปมาในแนวขวางระหว่างปลายทางขณะที่พวกเขาเตรียมที่จะขโมยข้อมูลและปรับใช้แรนซัมแวร์
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)