防毒軟體卻成為幫兇？駭客利用 Windows Defender 偷渡勒索軟體 LockBit

研究人員發現，駭客利用 Windows Defender（現在叫 Microsoft Defender）工具合法軟體的特性，在用戶電腦中側載惡意程式，並植入 LockBit 3.0 勒索軟體。

SentinelOne 研究人員最近在勒索軟體的攻擊中發現到這種新手法，可能是 Lockbit 的主要運作者或是其同夥。他們先駭入受害者網路終端，再以合法工具下載主要的惡意程式。

首先，駭客開採了受害者的 VMware Horizon Server 上的 Apache Log4j 漏洞/Log4Shell，成功存取了目標端點機器，並利用 PowerShell 執行指令，開始蒐集裝置及用戶憑證。等到取得足夠權限後，再以 PowerShell 指令從外部 C&C 伺服器下載其他惡意程式。這些程式包含 DLL 檔、一個加密的 Log 檔（Cobalt Strike beacon）及其他檔案，並用上 MpCmdRun.exe。

MpCmdRun.exe 其實是 Microsoft Defender 的指令行工具，是合法工具。但在這卻被用來發動離地攻擊 (living-off-the-land)；攻擊者執行 MpCmdRun.exe，載入 DLL 檔後，即可解密 Log 檔，釋放出真正的 Cobalt Strike，這個過程即為側載 (side load)。Cobalt Strike 也是合法的漏洞檢測工具，但經常被駭客用來開採軟體漏洞。

研究人員指出，LockBit 駭客過去較常使用 VMware 工具 VMwareXferlogs 來側載勒索軟體，這次是他們首次看到 Defender 工具的使用。但是使用兩者的目的是一樣，即借用他們作為企業常用的合法軟體的特性下載惡意程式，以迴避端點安全或防毒軟體的偵測，這也突顯駭客手法的不斷翻新。

來源：SentinelOne