Am 31. Juli meldete das Cybersicherheitsunternehmen Sentinel Eins berichteten, dass Microsoft war in Gefahr. Dies liegt daran, dass Cyberkriminelle, die mit der Operation in Verbindung stehen, LockBit 3.0 Ransomware-as-a-Service (RaaSwürde das Befehlszeilentool von verwenden Windows Defender die Kobaltladung.
So war es, wie die gesamte Verteidigung, die davon ausging, dass Windows Defender Es ist sehr schlecht ausgegangen, denn das Lockbit Es würde ihre Schwachstellen nach Belieben ausnutzen, um ungehindert agieren und die Computer der Opfer infizieren zu können.
Die Lockbit-Ransomware nutzt Windows Defender aus, um Cobalt Strike zu übertragen.
Am vergangenen Sonntag organisierten Sicherheitsexperten eine Anomalie erkennen Dabei stellten sie fest, dass die TA mehrere Angriffe ungehindert durchgeführt hatte.
Diese Situation versetzte das Unternehmen in höchste Alarmbereitschaft. Sentinel Einsdie umgehend die notwendigen Maßnahmen ergriffen. Dies geschah in Anbetracht der Tatsache, dass es sich um ein sehr sensibles Thema handelt, insbesondere angesichts der Häufigkeit seines Auftretens.
So läuft der Angriff ab, nachdem sie sich ersten Zugriff verschafft haben durch die Log4Shell-Schwachstelle gegen einen VMware-ServerDieses Sicherheitsproblem wurde nicht behoben. Das Sicherheitsunternehmen gab außerdem an, dass die Bedrohung mit folgendem zusammenhängt: BlockBit 3.0.
Auf diese Weise würde es die Vorteile nutzen Windows Defender-Befehlszeile um den Angriff durchzuführen, der die Nutzdaten entschlüsselt und lädt von Kobaltschlag.
„Im Rahmen einer kürzlich durchgeführten Untersuchung stellten wir fest, dass Hacker das WinDef-Befehlszeilentool MpCmdRun.exe missbrauchten, um Cobalt Strike-Payloads zu entschlüsseln und herunterzuladen.“
Sentinel One, ein Unternehmen für Cybersicherheit und Forschung
Die Familie der LockBit RaaS Es wurde erstmals im Juni 2022 vorgestellt. Seitdem konzentriert es sich darauf, die Vorteile von … zu nutzen. kritische Schwächen ihrer Opfersowie die Verbesserung der internen Details, die bei den Vorgängermodellen entdeckt wurden, sodass es zunehmend schwieriger wird, es zu entdecken.
Es handelt sich um ein hochentwickeltes Schadprogramm, das nach Ausführung seiner Aktionen eine Belohnung fordert. Es wurde außerdem beobachtet, dass es die Ergebnisse veröffentlicht, wenn die Zielpersonen der Forderung nicht nachkommen. extrahierte Daten.
„Nachdem sie den ersten Zugriff erlangt hatten, was als der schwierigste Teil gilt, gelang es den Angreifern, eine Reihe von Befehlen auszuführen und später eine große Anzahl von Tools auszuführen, darunter PowerShell Empire, Meterpreter und einen Cobalt Strike Sideload.“
Julio Dantas, Julien Reisdorfer und James Haughom, Ermittler des Falles.
Es ist wichtig, die Arbeitsweise dieser Leute zu berücksichtigen. Cyberkriminelle Es ist nicht neu und gilt sogar als effektive Methode, Erkennung durch Sicherheitssoftware vermeidenIn diesem Fall wurde die im Rahmen der Leben von der Natur (LotL).
Auf diese Weise übernehmen die Eindringlinge die Kontrolle über die Nutzung des Software-Recht und die im System verfügbaren Funktionen zur Durchführung der anschließenden Auswertung.
„Die Verteidiger müssen sich darüber im Klaren sein, dass die LockBit-Ransomware-Partner und -Betreiber neuartige Tools entwickeln und ausnutzen, die es ihnen ermöglichen, Cobalt Strike zu laden und so gängige traditionelle AV- und EDR-Erkennungsmechanismen zu umgehen.“
Sentinel One, ein Unternehmen für Cybersicherheit und Forschung
Für ähnliche Fälle in der Vergangenheit wurde ein Tool verwendet. VMware-Befehlszeile namens VMwareXferlogs.exe zu erreichen Cobalt Strike entfernenDer Unterschied diesmal besteht jedoch darin, dass es verwendet werden muss. MpCmdRun.exe um zu versuchen, dasselbe Ziel zu erreichen.
Es ist ein Werkzeug von der Kommandozeile welches von verwendet wird Microsoft Defender-Antivirus zur Durchführung verschiedener Sicherheitsfunktionen wie dem Aufspüren von Schadsoftware, dem Sammeln von Diagnosedaten und dem Wiederherstellen von Diensten auf eine frühere Version.
Dies könnte also eine Lösung für das gesamte Problem sein, was laut Sentinel EinsDem ersten Angriff folgte eine Nutzlast von Cobalt Strike durchgeführt von einem Remote-Server. Damit gelang es den Kriminellen Windows Defender entschlüsseln und kompromittieren.
Diese ganze Verwundbarkeit entsteht in dem Moment, in dem die Vermittler von Erstzugriff Sie beginnen nun aktiv die Möglichkeit des Eintritts anzubieten. zu UnternehmensnetzwerkenSowie die Anbieter von Verwaltungsdienstleistungen.
„Produkte wie VMware und Windows Defender sind für das Unternehmen von großer Bedeutung und sehr nützlich für Bedrohungsakteure, wenn sie außerhalb der vorinstallierten Sicherheitskontrollen agieren können.“
Sentinel One, ein Unternehmen für Cybersicherheit und Forschung
Noch vor nicht allzu langer Zeit rühmte sich Microsoft damit, dass Windows Defender Schutz vor Ransomware biete.
Ransomware Sie gehören zu den schlimmsten Cyberbedrohungen unserer Zeit.Da es sich um Malware handelt, die sehr schwer zu erkennen ist und die Fähigkeit besitzt, Dateien verschlüsseln sodass diese unbrauchbar werden, während sie gleichzeitig alle möglichen Informationen extrahieren.
Diese Angriffe erfordern fast immer einen finanzielle Belohnung die Informationen erneut freizugeben oder anderweitig Sie veröffentlichen es in Foren und auf Websites..
Bislang jedoch Windows Defender hatte sich als Schutzsoftware erwiesen, die in der Lage war, diese Angriffe zu blockieren.Das Gegenteil wurde jedoch bewiesen.
Es sollte außerdem erwähnt werden, dass laut einer Studie von AV-TEST, das Programm von Der Schutz von Microsoft erzielte die höchste Punktzahl bei der Abwehr von Ransomware..
Dies führte bei allen Nutzern zu der Annahme, dass sie durch die Verwendung dieses Virenschutzes vor diesen Angriffen geschützt wären. Darüber hinaus ist er in die Software integriert. neuesten Versionen von Windowswas es noch interessanter macht.
Doch nachdem diese Schwachstelle in ihrem System bekannt wurde, ermöglichte sie ihnen LockBit Es wird darauf laufen und könnte seine Schwächen ausnutzen; dies hat bei vielen Nutzern Zweifel hervorgerufen, die festgestellt haben, dass es tatsächlich keinen Schutz vor diesen Bedrohungen gibt, weshalb die Alarme ausgelöst wurden.
Von ahora, Windows Defender Es muss an diesen Schwachstellen arbeiten und versuchen, ein System anzubieten, das sicher und zuverlässigDa viele Nutzer beginnen, an der Wirksamkeit des Programms zu zweifeln, könnte dies sie eindeutig dazu veranlassen, zu anderen Schutzprogrammen zu wechseln, um die Sicherheit zu finden, die das Programm nicht bietet. Microsoft-Tool.
