Разделы

Безопасность Администратору Стратегия безопасности Пользователю Техника

Киберпреступники научились атаковать ПК с помощью антивируса Windows Defender

Утилита командной строки Windows Defender используется для побочной загрузки модифицированной DLL-библиотеки, производящей дешифровку вредоноса.

И снова побочная загрузка

Некие злоумышленники - партнёры RaaS-шифровальщика LockBit 3.0 - используют инструмент командной строки в Windows Defender для подгрузки в систему маяков Cobalt Strike.

Как выяснили эксперты компании SentinelOne, злоумышленники используют MpCmdRun.exe для расшифровки и загрузки Cobalt Strike, коммерческого инструмента для пентестирования, которым активно пользуется киберкриминал.

Использование Windows Defender - это лишь один из этапов атаки. Начинается она с компрометации систем VMWare Horizon Server, на которые не установлено исправление к уязвимости Log4j. Злоумышленники модифицировали компонент Horizon под названием Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После первичного проникновения в систему злоумышленники пытаются запустить серию команд и пытаются запустить ряд инструментов пост-эксплуатации, в том числе Meterpreter и Empire (PowerShell Empire, если быть точными).

win6001.jpg
Утилита командной строки Windows Defender используется при работе трояна-шифровальщика LockBit

После получения необходимых привилегий злоумышленники скачивают с контрольного сервера на скомпрометированную систему вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент - в форме MpCmdRun.exe.

Файл MpCmdRun.exe - абсолютно легитимный, снабжён рабочей цифровой подписью. Но вместе с ним скачиваетсяmpclient.dll - это модифицированная злоумышленниками библиотека, которую MpCmdRun.exe автоматически загружает и с помощью которой расшифровывает основное тело активного элемента (payload) Cobalt Strike, скрытое в файле C0000015.log.

Легитимный инструмент

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты "living off the land" - т.е. легитимные локальные средства - для подгрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», - говорится в публикации SentinelOne.

Николай Козак, Дом.рф: Февраль 2022 г. для нас стал уколом адреналина в части имортозамещения ИТ
Импортозамещение

В конце апреля исследователи Sentinel отмечали, что операторы LockBit пытаются использовать другую утилиту - VMwareXferlogs.exe - с той же целью, то есть, для подгрузки маяков Cobalt Strike. VMwareXferlogs.exe - это легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX.

Для этого также используется вредоносный DLL-файл, который позволяет обходить защитные инструменты виртуализированной системы, в том числе, детектирующие вредоносы по их поведению. Эксперты подозревали, что функциональность побочной загрузки реализована не основными операторами LockBit, а именно партнёрами.

«Living off the land, на самом деле, не новая методика, просто она не так часто применяется, хотя нередко даёт положительные для злоумышленников результаты, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - В данном случае использование LOTL становится возможным лишь потому, что атакуемая система уже скомпрометирована через старую, заметим, уязвимость».

Роман Георгиев