查看: 1933|回复: 4
收起左侧

[IT业界] LockBit攻击者滥用Defender来感染设备

[复制链接]
ICzcz
发表于 2022-7-30 10:39:15 | 显示全部楼层 |阅读模式
网络安全公司 SentinelOne 今天发布新闻稿,表示微软内置的反恶意软件解决方案已经被滥用,在受害者设备上加载 Cobalt Strike 信标。LockBit Ransomware as a Service (RaaS) 运营商及其附属公司在 Microsoft Defender 中使用专门的命令行工具“mpcmdrun.exe”,实现感染受害者个人电脑。

c4f4c7fd088be6d.jpg

在博文中,SentinelOne 表示:"在近期的调查中,我们发现威胁者滥用 Windows Defender 命令行工具 MpCmdRun.exe 来破译和加载 Cobalt Strike"。

这种攻击方式和此前曝光的 VMWare CLI 案件非常相似。攻击者利用 Log4j 漏洞下载 MpCmdRun,执行从 Command-and-Control (C2) 服务器下载恶意 DLL 文件和经过加密的 Cobalt Strike payload 文件,从而感染受害者的系统。

4d59a84e6f22668.jpg

滥用的 MpCmd.exe 可以侧载经过改装的 mpclient.dll,该 dll 文件从 c0000015.log 文件中加载和解密 Cobalt Strike Beacond。

f66f6c677d577de.jpg





https://www.sentinelone.com/labs/lockbit-ransomware-side-loads-cobalt-strike-beacon-with-legitimate-vmware-utility/
帝辛
发表于 2022-7-30 11:36:53 | 显示全部楼层

还是顶掉WD安全一点。这种东西不管什么时候都是第一个被研究绕过的。绕不了WD一切都没有意义。
喀反
发表于 2022-7-30 16:03:16 | 显示全部楼层
WD:内鬼竟是我自己
fzp070
发表于 2022-7-30 17:47:51 | 显示全部楼层
漏洞无处不在,只要去找,总能找到啊,没有绝对的安全
shuiyue96
发表于 2022-7-30 21:19:39 | 显示全部楼层
wd虽然越来越厉害,但是黑产第一个绕过的就是它
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-31 05:34 , Processed in 0.134505 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表