Защитник Windows был взломан для развертывания опасной программы-вымогателя
Защитник Windows был взломан для развертывания опасной программы-вымогателя. Фото: СС0
Исследователи кибербезопасности из Sentinel Labs недавно обнаружили новый метод, используемый неизвестным злоумышленником для развертывания программы- вымогателя LockBit 3.0.
Алгоритм работает следующим образом: субъект угрозы использует log4shell (так называют нулевой день Log4j), чтобы получить доступ к целевой конечной точке и получить необходимые пользовательские привилегии. После этого хакеры использовали PowerShell для загрузки трех отдельных файлов: служебного файла Windows CL (чистого), файла DLL (mpclient.dll) и файла журнала (настоящего маяка Cobalt Strike).
Затем они запускали MpCmdRun.exe, утилиту командной строки, которая выполняет различные задачи для Microsoft Defender. Эта программа обычно загружает законный файл DLL — mpclient.dll, который необходим ей для корректной работы. Но в этом случае программа загрузит одноименную вредоносную DLL, загруженную вместе с программой.
Эта DLL будет загружать файл LOG и расшифровывать зашифрованную полезную нагрузку Cobalt Strike. Это метод, известный как боковая загрузка.
Специалисты призывают предприятия проверять свои средства безопасности и проявлять бдительность, отслеживая, как используются законные исполняемые файлы.
Startpack подготовиk список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было