Windows Defender

红海APP官网发展中心

LockBit 3.0勒索软件利用Windows Defender进行攻击

关键要点

  • LockBit 3.0 勒索软件利用Windows Defender的命令行工具 MpCmdRun.exe 安装Cobalt Strike信标。
  • 攻击者通过PowerShell促成Windows CL工具及DLL和LOG文件的安装。
  • 攻击者开发了一个武器化的”mpclient.dll”版本,确保恶意DLL的快速安装。
  • 初步网络入侵是通过利用易受Log4j攻击的VMware Horizon服务器实现的,转而使用Windows Defender可能是为了规避检测。

根据Sentinel Labs的研究,和已经通过利用WindowsDefender命令行工具”MpCmdRun.exe”,在被攻陷的系统上安装了CobaltStrike信标。的报道揭露了这一情况。

攻击者通过使用PowerShell来促进Windows CL实用工具的安装,以及相关的DLL和LOG文件。根据SentinelLabs的报告,这些攻击者还开发了一个武器化的”mpclient.dll”版本,此版本会在执行MpCmdRun.exe时被加载,并放置在一个确保恶意DLL快速安装的位置。此外,报告显示一个加密的CobaltStrike负载会被加载,并通过”c0000015.log”文件进行解密。研究人员指出,威胁行为者还通过利用易受Log4j攻击的VMwareHorizon服务器实现初始网络入侵,转而使用Windows Defender可能是为了避开检测。

Leave a Reply

Your email address will not be published. Required fields are marked *