LockBit Ransomware, Windows Defender'ı Kötüye Kullanarak Windows'ta Cobalt Strike Enjekte Ediyor

LockBit'in son zamanlarda normalden daha fazla dikkat çektiği görülüyor. Sentinel Labs'deki siber güvenlik uzmanları, Cobalt Strike yüklerinin Windows Defender kullanan bir LockBit 3.0 fidye yazılımı operatörü tarafından şifresinin çözüldüğünü ve yüklendiğini keşfetti.

Tehdit aktörleri arasında Cobalt Strike, çok çeşitli özellikler sunan penetrasyon testi için gelişmiş bir araç paketi olarak kabul edilmektedir.

Cobalt Strike işaretlerinin tespiti, modern güvenlik çözümlerinin ortaya çıkmasıyla iyileşti. Araç setlerini yaratıcı bir şekilde dağıtmak için, tehdit aktörleri bunları dağıtmanın yenilikçi yollarını arıyor.

Kötü amaçlı DLL'leri dışarıdan yüklemek için, tehdit aktörleri Microsoft Defender'ın MPCmdRun.exe komut satırı aracından yararlanıyor.

Rapora göre, LockBit için Cobalt Strike işaretlerinin tehlikeye atılan sistemlere yandan yüklenmesi yeni bir şey değil. Son zamanlarda, enfeksiyonu yaymak için VMware komut satırı yardımcı programlarının kötüye kullanılmasına dayanan benzer enfeksiyon zincirleri bildirilmiştir.

Saldırı Akışı

Tehdit aktörleri, hedef sisteme giriş kazandıktan ve ihtiyaç duydukları kullanıcı ayrıcalıklarını elde ettikten hemen sonra üç dosyayı indirmek için PowerShell'i kullanır.

Bu üç dosya şunlardır:

• Windows CL yardımcı programı
• DLL dosyası
• Bir LOG dosyası

Windows Defender'da, bir dizi görevi gerçekleştirmek için kullanılabilecek MpCmdRun.exe adlı komut satırı yardımcı programı vardır. Aşağıdaki önemli görevleri yürütebilir veya gerçekleştirebilir:

• Kötü amaçlı yazılım taraması komutları
• Bilgi toplama
• Öğeleri geri yükleme
• Tanılama izleme gerçekleştirme

MpCmdRun.exe çalıştırılır çalıştırılmaz, programın doğru çalışmasını sağlamak için gerekli olan meşru bir DLL dosyası (mpclient.dll) yüklenir.

Bu aşamada, "c0000015.log" dosyasından, daha sonra yürütülen kod tarafından şifresi çözülen şifreli bir Cobalt Strike yükü yüklenir. Saldırının önceki aşamalarında, bu dosyayla birlikte bırakılan iki dosya daha vardır.

Bu olay, LockBit operatörlerinin VMware'den Windows Defender komut satırı araçlarına geçtiğini gösterir. Ancak, tehdit aktörlerinin neden değiştiği henüz belli değil.

Bu günlerde, kullanıcıların bu tür araçlarla EDR ve AV algılamadan kaçınmaları çok yaygındır, bu nedenle bir kuruluşun güvenlik kontrollerini değerlendirmek son derece önemlidir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.