top of page
Foto do escritorInternational IT

LockBit 3.0: Ransomware usa o Windows Defender para carregar o Cobalt Strike

Atualizado: 27 de set. de 2022

Cibercriminosos associados à operação de Ransomware-as-a-Service (RaaS) LockBit 3.0 estão utilizando a ferramenta de linha de comando do Windows Defender para carregar beacons Cobalt Strike em sistemas comprometidos e evitar detecção.



O LockBit 3.0 (também conhecido como LockBit Black), que tem com o slogan "Make Ransomware Great Again!", é a nova versão da família LockBit RaaS.


Já o Cobalt Strike é uma ferramenta legítima de testes de penetração com vários recursos para realizar reconhecimento e movimento lateral oculto de rede antes de roubar dados e criptografá-los.


No entanto, as soluções de segurança tornaram-se melhores na detecção de beacons Cobalt Strike, fazendo com que os hackers procurem maneiras inovadoras de implementar a ferramenta.



De acordo com o relatório publicado pela empresa SentinelOne, foi detectado um incidente que ocorreu após a obtenção de acesso inicial por meio da vulnerabilidade Log4Shell em um VMware Horizon Server sem patch. Os pesquisadores Julio Dantas, James Haughom, e Julien Reisdorffer afirmam:

Uma vez que o acesso inicial foi alcançado, os agentes de ameaças executaram uma série de comandos de enumeração e tentaram executar várias ferramentas de pós-exploração, incluindo Meterpreter, PowerShell Empire e uma nova maneira de carregar o Cobalt Strike.

Depois de estabelecer acesso a um sistema de destino e obter os privilégios de usuário necessários, os cibercriminosos usam o PowerShell para baixar três arquivos: uma cópia de um utilitário CL do Windows, um arquivo DLL e um arquivo LOG.


MpCmdRun.exe é um utilitário de linha de comando para executar tarefas do Microsoft Defender e oferece suporte a comandos para verificar malware, coletar informações, restaurar itens, executar rastreamento de diagnóstico e muito mais.


Quando executado, o MpCmdRun.exe carregará uma DLL legítima chamada “mpclient.dll”, necessária para que o programa funcione corretamente.


No caso analisado pelo SentinelLabs, os hackers criaram sua própria versão do mpclient.dll e a colocaram em um local que prioriza o carregamento do arquivo DLL malicioso.


O código executado carrega e descriptografa o Cobalt Strike do arquivo “c0000015.log”, descartado junto com os outros dois arquivos do estágio anterior do ataque.




Os pesquisadores alertam que "as ferramentas que devem receber uma análise cuidadosa são aquelas para as quais a organização ou o software de segurança da organização abriram exceções". Produtos como VMware e Windows Defender têm uma alta prevalência nas empresas e uma grande utilidade para hackers que desejam ter permissão para operar fora dos controles de segurança instalados.


Usar ferramentas de "living off the land” para evitar a detecção de EDR e AV é extremamente comum nos dias de hoje. Portanto, as organizações precisam verificar seus controles de segurança e rastrear o uso de executáveis legítimos que podem ser usados por invasores.


 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Posts recentes

Ver tudo

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page