LockBit攻击者滥用Defender来感染设备

ICzcz

网络安全公司 SentinelOne 今天发布新闻稿，表示微软内置的反恶意软件解决方案已经被滥用，在受害者设备上加载 Cobalt Strike 信标。LockBit Ransomware as a Service (RaaS) 运营商及其附属公司在 Microsoft Defender 中使用专门的命令行工具“mpcmdrun.exe”，实现感染受害者个人电脑。

在博文中，SentinelOne 表示："在近期的调查中，我们发现威胁者滥用 Windows Defender 命令行工具 MpCmdRun.exe 来破译和加载 Cobalt Strike"。

这种攻击方式和此前曝光的 VMWare CLI 案件非常相似。攻击者利用 Log4j 漏洞下载 MpCmdRun，执行从 Command-and-Control (C2) 服务器下载恶意 DLL 文件和经过加密的 Cobalt Strike payload 文件，从而感染受害者的系统。

滥用的 MpCmd.exe 可以侧载经过改装的 mpclient.dll，该 dll 文件从 c0000015.log 文件中加载和解密 Cobalt Strike Beacond。

https://www.sentinelone.com/labs/lockbit-ransomware-side-loads-cobalt-strike-beacon-with-legitimate-vmware-utility/

帝辛

还是顶掉WD安全一点。这种东西不管什么时候都是第一个被研究绕过的。绕不了WD一切都没有意义。

喀反

WD：内鬼竟是我自己

fzp070

漏洞无处不在，只要去找，总能找到啊，没有绝对的安全

shuiyue96

wd虽然越来越厉害，但是黑产第一个绕过的就是它