Ransomware LockBit lợi dụng chính Microsoft Defender để lây nhiễm

Thông tin vừa được hãng nghiên cứu an ninh mạng SentinelOne công bố có thể sẽ khiến Microsoft phải giật mình.

Cụ thể, theo SentinelOne, công cụ chống/diệt virus của Microsoft đang bị hacker lạm dụng để tải Cobalt Strike beacon lên máy của các nạn nhân tiềm năng. Qua đó, hacker có thể cài đặt lên máy của nạn nhân ransomware LockBit bằng cách sử dụng công cụ dòng lệnh chuyên dụng trong Defender có tên "mpcmdrun.exe".

Trên blog của mình, SentinelOne viết như sau:

Trong một cuộc điều tra gần đây, chúng tôi phát hiện ra rằng hacker đang lạm dụng công cụ dòng lệnh MpCmdRun.exe của Windows Defender (tên cũ của Microsoft Defender) để giải mã và tải các payload Cobalt Strike.

Đây là một hành vi rất đáng chú ý và cần phải được đề phòng đúng mực.

quá trình tấn công khá giống với trường hợp của VMware CLI trước đó. Về cơ bản, hacker khai thác lỗ hổng Log4j để tải xuống MpCmdRun, tệp DLL độc hại "mpclient" và file payload Cobalt Strike đã được mã hóa từ máy chủ Command-and-Control (C2) của nó để lây nhiễm vào máy tính của bạn nhân.

MpCmd.exe bị lạm dụng để side-load một file mpclient.dll đã được đặc chế, tải và giải mã Cobalt Strike beacon từ file c0000015.log.

Do đó, các thành phần được sử dụng trong cuộc tấn công liên quan cụ thể tới việc sử dụng công cụ dòng lệnh của Windows Defender là:

  • MpCmdRun.exe: Tiện ích Microsoft Defender hợp pháp, đã được ký xác nhận
  • mpclient.dll: File DLL đặc chế được tải bởi MpCmdRun.exe
  • C0000015.log: Payload Cobalt Strike đã được mã hóa

Đây là chuỗi tấn công của hacker:

Ransomware LockBit lợi dụng chính Microsoft Defender để lây nhiễm

Phương thức tấn công mới lạ này cho thấy hacker ngày càng tinh vi hơn và chúng sẽ không bao giờ ngừng tìm ra các kiểu tấn công có thể né tránh sự phát hiện của các công cụ diệt virus, bảo mật phổ biến. Bên cạnh đó, cần có sự giám sát kỹ lưỡng hơn với các công cụ mà các doanh nghiệp, tổ chức đưa ra để tránh bị lạm dụng.

Các sản phẩm như VMwarer và Windows Defender có mức độ phổ biến cao trong doanh nghiệp nên sẽ trở thành công cụ hủy diệt trong tay hacker nếu chúng tìm ra được cách lạm dụng.

Thứ Hai, 01/08/2022 16:47
51 👨 516
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ