防毒軟體卻成為幫兇?駭客利用Windows Defender偷渡勒索軟體LockBit

研究人員發現,駭客利用Windows Defender(現在叫Microsoft Defender)工具合法軟體的特性,在用戶電腦中側載惡意程式,並植入LockBit 3.0勒索軟體。

研究人員發現,駭客利用Windows Defender(現在叫Microsoft Defender)工具合法軟體的特性,在用戶電腦中側載惡意程式,並植入LockBit 3.0勒索軟體。

SentinelOne研究人員最近在勒索軟體的攻擊中發現到這種新手法,可能是Lockbit 的主要運作者或是其同夥。他們先駭入受害者網路終端,再以合法工具下載主要的惡意程式。

首先,駭客開採了受害者的VMware Horizon Server上的Apache Log4j漏洞/Log4Shell,成功存取了目標端點機器,並利用PowerShell執行指令,開始蒐集裝置及用戶憑證。等到取得足夠權限後,再以PowerShell指令從外部C&C伺服器下載其他惡意程式。這些程式包含DLL檔、一個加密的Log檔(Cobalt Strike beacon)及其他檔案,並用上MpCmdRun.exe。

MpCmdRun.exe其實是Microsoft Defender的指令行工具,是合法工具。但在這卻被用來發動離地攻擊(living-off-the-land);攻擊者執行MpCmdRun.exe,載入DLL檔後,即可解密Log檔,釋放出真正的Cobalt Strike,這個過程即為側載(side load)。Cobalt Strike也是合法的漏洞檢測工具,但經常被駭客用來開採軟體漏洞。

研究人員指出,LockBit駭客過去較常使用VMware工具VMwareXferlogs來側載勒索軟體,這次是他們首次看到Defender工具的使用。但是使用兩者的目的是一樣,即借用他們作為企業常用的合法軟體的特性下載惡意程式,以迴避端點安全或防毒軟體的偵測,這也突顯駭客手法的不斷翻新。

來源:SentinelOne

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416