سوءاستفاده از Windows Defender، تکنیک جدید باج‌افزار LockBit 3.0

بنا بر گزارش محققان امنیتی، گردانندگان باج‌افزار LockBit 3.0 (که به LockBit Black نیز معروف است) از خط فرمان Windows Defender و یک سری روال‌های ضدشناسایی و ضدتحلیل جهت دورزدن محصولات امنیتی استفاده می‌کنند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده گزارش مذکور مورد بررسی قرار گرفته است.

در فروردین 1401 نیز محققان اعلام نموده بودند که LockBit از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، جهت بارگذاری و تزریق Cobalt Strike استفاده می‌کند.

Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگی‌های گسترده‌ای است که در بین مهاجمان به منظور شناسایی شبکه و گسترش آلودگی در شبکه پیش از سرقت و رمزگذاری داده‌ها مورد استفاده قرار می‌گیرد.

طی تحقیقات اخیر، محققان پی بردند که مهاجمان از خط فرمان Windows Defender به نام Windows Defender MpCmdRun.exe جهت رمزگشایی و دانلود کدهای مخرب Cobalt Strike سوءاستفاده می‌کنند.

در این حملات، نفوذ اولیه به هدف موردنظر از طریق آسیب‌پذیری Log4j در سرور VMWare Horizon وصله‌نشده صورت می‌گیرد. مهاجمان مؤلفه Blast Secure Gateway برنامه را با نصب یک پوسته وب (Web Shell) و از طریق فرمان‌های PowerShell که در اینجا جزئیات آن بررسی شده، تغییر دادند. پس از نفوذ اولیه، مهاجمان با استفاده از فرمان‌هایی تلاش می‌کنند که چندین ابزار از جمله Meterpreter و PowerShell Empire را بکار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.

در این سری از حملات، به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی به منظور بارگذاری یک DLL مخرب استفاده می‌شود که کد مخرب را رمزگشایی می‌کند. مهاجمان DLL مخرب، کد بدافزاری و ابزار معتبر را با بکارگیری ابزار معتبر خط فرمانWindows Defender  به نام MpCmdRun.exe از سرور کنترل و فرمان‌دهی خود (Command-and-Control – به اختصار C2) دانلود می‌کنند.

همچنین DLL مخرب همانند تکنیک‌های بکارگرفته شده پیشین با حذف EDR/EPR userland hook، از ابزارهای تشخیصی فرار و ردیابی رویدادها را برای Windows و رابط پویش ضدبدافزار دشوار می‌سازد.

 

استفاده از ابزارها و توابع عادی و سالم سیستم‌عامل و دیگر نرم‌افزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روش‌هایی است که مهاجمان برای مخفی ماندن و شناسایی نشدن توسط سیستم‌های امنیتی و ضدویروس‌های قدیمی بکار می‌گیرند. به این روش «کسب روزی از زمین» یا Living off the Land – به اختصار LotL – گفته می‌شود.

استفاده از محصولات معتبری همچون VMware و Windows Defender که امروزه بطور گسترده در سازمان‎ها بکارگرفته می‌شوند و از پتانسیل بالایی برای بهره‌جویی توسط مهاجمان برخورداند، باید همواره مورد بررسی دقیق قرار گیرند. در عین حال به‌روزرسانی به‌موقع وصله‌های منتشر شده برای تمامی محصولات در دستور کار راهبران امنیتی باشد.

جزئیات بیشتر این گزارش در نشانی زیر قابل دریافت و مطالعه می‌باشد:

https://www.sentinelone.com/blog/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool/

 

نشانه‌های آلودگی

برخی از نشانه‌های آلودگی (Indicators-of-Compromise – به اختصار IoC) مربوط به سوءاستفاده از خط فرمان Windows Defender عبارتند از:

 

نام فایل

     توضیحات

mpclient.dll

Weaponized DLL loaded by MpCmdRun.exe

MpCmdRun.exe

Legitimate/signed Microsoft Defender utility

C0000015.log

Encrypted Cobalt Strike payload

 

نشانه‌های آلودگی

           توضیحات 

a512215a000d1b21f92dbef5d8d57a420197d262

Malicious glib-2.0.dll

729eb505c36c08860c4408db7be85d707bdcbf1b

Malicious glib-2.0.dll

10039d5e5ee5710a067c58e76cd8200451e54b55

Malicious glib-2.0.dll

ff01473073c5460d1e544f5b17cd25dadf9da513

Malicious glib-2.0.dll

e35a702db47cb11337f523933acd3bce2f60346d

Encrypted Cobalt Strike payload – c0000015.log

82bd4273fa76f20d51ca514e1070a3369a89313b

Encrypted Cobalt Strike payload – c0000015.log

091b490500b5f827cc8cde41c9a7f68174d11302

Decrypted Cobalt Strike payload – c0000015.log

0815277e12d206c5bbb18fd1ade99bf225ede5db

Encrypted Cobalt Strike payload – c0000013.log

eed31d16d3673199b34b48fb74278df8ec15ae33

Malicious mpclient.dll

149.28.137[.]7

Cobalt Strike C2

45.32.108[.]54

IP where the attacker staged the malicious payloads to be downloaded

139.180.184[.]147

Attacker C2 used to receive data from executed commands

info.openjdklab[.]xyz

Domain used by the mpclient.dll

منبع:

https://www.sentinelone.com/blog/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool/

 

 

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *