Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Sentinel One sind auf einen interessanten Angriffsweg unter Windows gestoßen, die die Ransomware-Gang Lockbit beschreitet. Die Gruppe nutzt in ihrem Ransomware-Baukasten den Windows Defender, um über diesen das Testtool Cobalt Strike zu laden und dann zu missbrauchen. Dabei wird das (ungepatchte) Zielsystem über die Log4j-Schwachstelle angegriffen.


Anzeige

Die Ransomware-Gruppe LockBit erhielt in letzter Zeit viel Aufmerksamkeit und inzwischen gibt es LockBit 3.0 dieser Schadsoftware. In dieser Version sind eine Reihe von Anti-Analyse- und Anti-Debugging-Funktionen implementiert. Dabei nutzt die Gruppe auch die 'Living off the Land'-Technik (LotL) einsetzen, um Cobalt Strike zu laden.

'Living off the Land'-Angriffe benutzen ein auf Betriebssystemebene bereits vorhandene Programmdatei, um schädlichen Code zu laden. Bei LockBit wurde bereits im April von SentinelLabs berichtet, dass die Gruppe das VMware Command Line Tool, VMwareXferlogs.exe, missbraucht, um Cobalt Strike zu laden.

Lockbit uses Windows Defender to load Cobalt Strike
Angriffsweg, Quelle: SentinelOne

Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es wird aber auch häufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet, so die Wikipedia.


Anzeige

Windows Defender missbraucht

Inzwischen sind die Sicherheitsforscher von SentinelLabs auf einen  Vorfall gestoßen, in dem von einem LockBit-Betreiber oder -Partner der Windows Defender als Lader zweckentfremdet wurde. Bei einer kürzlich durchgeführten Untersuchung wurde festgestellt, dass die Bedrohungsakteure das Windows Defender-Befehlszeilentool MpCmdRun.exe missbrauchen, um Cobalt Strike-Nutzdaten zu entschlüsseln und zu laden.

MpCmdRun.exe ist ein Befehlszeilendienstprogramm zur Durchführung von Microsoft Defender-Aufgaben und unterstützt Befehle zum Scannen nach Malware, zum Sammeln von Informationen, zum Wiederherstellen von Elementen, zum Durchführen von Diagnosen und mehr. Der Angreifer geht dabei in Schritten vor.

Sobald ein Windows-System mit einer Log4j-Schwachstelle gefunden wird, versuchen die Angreifer eine PowerShell zu starten. Sobald der Bedrohungsakteur ausreichende Rechte erlangt hatte, versuchte er, mehrere Nutzdaten nach der Ausnutzung herunterzuladen und auszuführen.

Im konkreten Fall wird auch eine manipulierte DLL-Datei mpclient.dll von einem Angriffsserver in einen Pfad gespeichert, von dem bekannt ist, dass Windows dort DLLs lädt. Diese Technik ist als DLL-Hijacking häufiger hier im Blog skizziert worden. Dann nutzen die Angreifer das legitime Windows Defender-Befehlszeilentool MpCmdRun.exe, um Cobalt Strike-Nutzdaten zu entschlüsseln und zu laden.

Mit dieser Technik hofft der Angreifer, Sicherheitstools unter Windows auszutricksen, da MpCmdRun.exe ja eine legale und signierte Anwendung ist. Das Cobalt Strike Beacon wird dabei von der Datei mpclient.dll aus der Datei c0000015.log geladen, und entschlüsselt. Anschließend versuchte der Bedrohungsakteur, Cobalt Strike auszuführen und dann die Ausgaben an eine IP-Adresse auf einem kontrollierten Server zu senden.

Die Lehre aus diesem Vorfall lautet, dass alle Tools, für die entweder das Unternehmen oder die Sicherheitssoftware des Unternehmens Ausnahmen festgelegt hat, sorgfältig geprüft werden sollten. Produkte wie VMware und Windows Defender sind im Unternehmen weit verbreitet und bieten Bedrohungsakteuren einen hohen Nutzen, wenn sie außerhalb der installierten Sicherheitskontrollen eingesetzt werden dürfen. Details lassen sich in diesem Blog-Beitrag der Sicherheitsforscher nachlesen.  (via)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden

  1. Jens sagt:

    Wird denn eigentlich der Windows Defender bei Einsatz einer anderen Virenschutzlösung wirklich deinstalliert oder nur deaktiviert – mit der Folge, dass das missbrauchte Programm dann ja trotzdem auf dem Windows10-Rechner vorhanden wäre?

  2. Stefan Kanthak sagt:

    "'Living off the Land'-Angriffe benutzen ein auf Betriebssystemebene bereits vorhandene Programmdatei, um schädlichen Code zu laden."

    Soweit korrekt.
    Dummerweise ist Missbrauch von MpCmdRun.exe im hier beschriebenen Angriff KEIN "living of the land": der Angreifer lädt (eine VERALTETE Version von) MpCmdRun.exe herunter und speichert sie NEBEN seiner eigenen MpClient.dll in einem Verzeichnis unterhalb von C:\Windows\Help\…
    Das heruntergeladene MpCmdRun.exe lädt MpClient.dll amschliessend aus seinem "application directory"

    JFTR: das System ist schon VOR dem Laden und Ausführen der MpClient.dll KOMPROMITTIERT, da die zum Herunterladen benutzte PoserShell zum Speichern unterhalb von C:\Windows\Help\… bereits mit Administratorrechten laufen muss.

    JFTR2: würden die UNSÄGLICH schlampigen Frickler Microsofts ENDLICH die Sicherheitsvorgaben ihrer eigenen Klitsche beachten, d.h. den Suchpfad mittels SetDefaultDllDirectories(LOAD_LIBRARY_SEARCH_SYSTEM32), LoadLibraryEx(…, LOAD_LIBRARY_SEARCH_SYSTEM32) sowie LINK.exe /DEPENDENTLOADFLAG.LOAD_LIBRARY_SEARCH_SYSTEM32) beschränken (siehe https://skanthak.homepage.t-online.de/!execute.html) dann könnten Programme wie MpCmdRun.exe NICHT zum Laden beliebiger DLLs missbraucht werden.

  3. Hans sagt:

    Genau deswegen deaktiviere ich Defender immer nach einer Neuinstallation. Ist mir zu sehr Einfallstor für Angriffe. Bin damit bisher sehr gut gefahren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.