کمیته رکن چهارم – گردانندگان باجافزار LockBit ۳.۰ که به LockBit Black نیز معروف است از خط فرمان Windows Defender و یکسری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکنند.
پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کرده بودند که LockBit از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe برای بارگذاری و تزریق Cobalt Strike استفاده میکند.
Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگیهای گستردهای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در شبکه پیش از سرقت و رمزگذاری دادهها استفاده میشود.
در تحقیقات اخیر، محققان پی بردند که مهاجمان از خط فرمان Windows Defender به نام Windows Defender MpCmdRun.exe برای رمزگشایی و دانلود کدهای مخرب Cobalt Strike سوءاستفاده میکنند.
در این حملات، نفوذ اولیه به هدف موردنظر از طریق آسیبپذیری Log۴j در سرور VMWare Horizon وصله نشده صورت میگیرد. مهاجمان مؤلفه Blast Secure Gateway برنامه را با نصب یک پوسته وب (Web Shell) و از طریق فرمانهای PowerShell تغییر دادند که در اینجا جزئیات آن بررسی شده است.
پس از نفوذ اولیه، مهاجمان با استفاده از فرمانهایی تلاش میکنند که چندین ابزار از جمله Meterpreter و PowerShell Empire را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.
در این سری از حملات، به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده میشود که کد مخرب را رمزگشایی میکند. مهاجمان DLL مخرب، کد بدافزاری و ابزار معتبر را با بهکارگیری ابزار معتبر خط فرمان Windows Defender به نام MpCmdRun.exe از سرور کنترل و فرماندهی خود (Command-and-Control – بهاختصار C۲) دانلود میکنند.
همچنین DLL مخرب همانند تکنیکهای به کارگرفته شده پیشین با حذف userland hook EDR/EPP، از ابزارهای تشخیصی فرار و ردیابی رویدادها را برای Windows و رابط پویش ضدبدافزاری دشوار میسازد.
استفاده از ابزارها و توابع عادی و سالم سیستمعامل و دیگر نرمافزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روشهایی است که مهاجمان برای مخفی ماندن از دید سیستمهای امنیتی و ضدویروسهای قدیمی و شناسایی نشدن به کار میگیرند. به این روش «کسب روزی از زمین» یا Living off the Land – بهاختصار LotL – گفته میشود.
استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره مورد بررسی دقیق قرار گیرند چرا که به طور گسترده در سازمانها به کار گرفته میشوند و از پتانسیل خوبی برای بهرهجویی مهاجمان برخوردارند، درعینحال بهروزرسانی بهموقع وصلههای منتشر شده برای تمامی محصولات در دستور کار راهبران امنیتی باشد.
منبع : مرکز مدیریت راهبردی افتا