LockBit攻击者滥用Defender来感染设备

2022年07月30日 10:29 次阅读 稿源:cnBeta.COM 条评论

网络安全公司 SentinelOne 今天发布新闻稿,表示微软内置的反恶意软件解决方案已经被滥用,在受害者设备上加载 Cobalt Strike 信标。LockBit Ransomware as a Service (RaaS) 运营商及其附属公司在 Microsoft Defender 中使用专门的命令行工具“mpcmdrun.exe”,实现感染受害者个人电脑。

在博文中,SentinelOne 表示:"在近期的调查中,我们发现威胁者滥用 Windows Defender 命令行工具 MpCmdRun.exe 来破译和加载 Cobalt Strike"。

这种攻击方式和此前曝光的 VMWare CLI 案件非常相似。攻击者利用 Log4j 漏洞下载 MpCmdRun,执行从 Command-and-Control (C2) 服务器下载恶意 DLL 文件和经过加密的 Cobalt Strike payload 文件,从而感染受害者的系统。

azkurxjp.jpg

滥用的 MpCmd.exe 可以侧载经过改装的 mpclient.dll,该 dll 文件从 c0000015.log 文件中加载和解密 Cobalt Strike Beacond。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

LockBit攻击者滥用Defender来感染设备

3 (60%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      招聘

      created by ceallan