LockBit ransomware abusa di Windows Defender per caricare Cobalt Strike
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 1 Agosto 2022
Tags: #lockbit, #ransomware, #sicurezza, #windowsdefender
Tags: #lockbit, #ransomware, #sicurezza, #windowsdefender
L'operatore LockBit abusa di Windows Defender per caricare Cobalt Strike
Un attore di minacce associato all'operazione di ransomware LockBit 3.0 sta abusando dello strumento della riga di comando di Windows Defender per caricare i beacon Cobalt Strike su sistemi compromessi ed eludere il rilevamento da parte del software di sicurezza.
Cobalt Strike è una suite di test di penetrazione legittima con funzionalità estese popolari tra gli attori delle minacce per eseguire ricognizioni di rete furtive e movimenti laterali prima di rubare i dati e crittografarli.
Tuttavia, le soluzioni di sicurezza sono migliorate nel rilevare i beacon di Cobalt Strike, inducendo gli attori delle minacce a cercare modi innovativi per implementare il toolkit.
In un recente caso di risposta agli incidenti per un attacco ransomware LockBit, i ricercatori di Sentinel Labs hanno notato l'abuso dello strumento da riga di comando di Microsoft Defender "MpCmdRun.exe" per caricare lateralmente DLL dannose che decrittografano e installano beacon Cobalt Strike.
La compromissione della rete iniziale in entrambi i casi è stata condotta sfruttando un difetto Log4j su server VMWare Horizon vulnerabili per eseguire codice PowerShell.
Il caricamento laterale dei beacon Cobalt Strike su sistemi compromessi non è una novità per LockBit, poiché ci sono segnalazioni su catene di infezione simili che si basano sull'abuso delle utilità della riga di comando VMware.
Abusare di Microsoft Defender
Dopo aver stabilito l'accesso a un sistema di destinazione e aver ottenuto i privilegi utente richiesti, gli autori delle minacce utilizzano PowerShell per scaricare tre file: una copia pulita di un'utilità Windows CL, un file DLL e un file LOG.
MpCmdRun.exe è un'utilità della riga di comando per eseguire attività di Microsoft Defender e supporta comandi per cercare malware, raccogliere informazioni, ripristinare elementi, eseguire analisi diagnostiche e altro ancora.
Quando viene eseguito, MpCmdRun.exe caricherà una DLL legittima denominata "mpclient.dll" necessaria per il corretto funzionamento del programma.
Nel caso analizzato da SentinelLabs, gli attori delle minacce hanno creato la propria versione armata di mpclient.dll e l'hanno collocata in una posizione che dà priorità al caricamento della versione dannosa del file DLL.
Il codice eseguito carica e decrittografa un payload crittografato Cobalt Strike dal file "c0000015.log", rilasciato insieme agli altri due file della fase precedente dell'attacco.
Sebbene non sia chiaro il motivo per cui l'affiliata LockBit è passata da VMware agli strumenti della riga di comando di Windows Defender per il caricamento laterale dei beacon Cobalt Strike, potrebbe essere per aggirare le protezioni mirate implementate in risposta al metodo precedente.
L'uso di strumenti "vivere fuori dalla terra" per eludere il rilevamento EDR e AV è estremamente comune in questi giorni; quindi le organizzazioni devono controllare i propri controlli di sicurezza e mostrare vigilanza nel tracciare l'uso di eseguibili legittimi che potrebbero essere utilizzati dagli aggressori.