Киберпреступники научились атаковать ПК с помощью антивируса Windows Defender

И снова побочная загрузка

Некие злоумышленники — партнёры RaaS-шифровальщика LockBit 3.0 — используют инструмент командной строки в Windows Defender для подгрузки в систему маяков Cobalt Strike.

Как выяснили эксперты компании SentinelOne, злоумышленники используют MpCmdRun.exe для расшифровки и загрузки Cobalt Strike, коммерческого инструмента для пентестирования, которым активно пользуется киберкриминал.

Использование Windows Defender — это лишь один из этапов атаки. Начинается она с компрометации систем VMWare Horizon Server, на которые не установлено исправление к уязвимости Log4j. Злоумышленники модифицировали компонент Horizon под названием Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После первичного проникновения в систему злоумышленники пытаются запустить серию команд и пытаются запустить ряд инструментов пост-эксплуатации, в том числе Meterpreter и Empire (PowerShell Empire, если быть точными).

Утилита командной строки Windows Defender используется при работе трояна-шифровальщика LockBit

После получения необходимых привилегий злоумышленники скачивают с контрольного сервера на скомпрометированную систему вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — в форме MpCmdRun.exe.

Файл MpCmdRun.exe — абсолютно легитимный, снабжён рабочей цифровой подписью. Но вместе с ним скачиваетсяmpclient.dll — это модифицированная злоумышленниками библиотека, которую MpCmdRun.exe автоматически загружает и с помощью которой расшифровывает основное тело активного элемента (payload) Cobalt Strike, скрытое в файле C0000015.log.

Легитимный инструмент

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land» — т.е. легитимные локальные средства — для подгрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — говорится в публикации SentinelOne.

Михаил Соловьев, МТС: В месяц мы реализуем 4-5 миграций из иностранных сервисов в облако МТС Облачные сервисы

В конце апреля исследователи Sentinel отмечали, что операторы LockBit пытаются использовать другую утилиту — VMwareXferlogs.exe — с той же целью, то есть, для подгрузки маяков Cobalt Strike. VMwareXferlogs.exe — это легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX.

Для этого также используется вредоносный DLL-файл, который позволяет обходить защитные инструменты виртуализированной системы, в том числе, детектирующие вредоносы по их поведению. Эксперты подозревали, что функциональность побочной загрузки реализована не основными операторами LockBit, а именно партнёрами.

«Living off the land, на самом деле, не новая методика, просто она не так часто применяется, хотя нередко даёт положительные для злоумышленников результаты, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — В данном случае использование LOTL становится возможным лишь потому, что атакуемая система уже скомпрометирована через старую, заметим, уязвимость».