Un actor de amenazas asociado con la operación de ransomware LockBit 3.0 está abusando de la herramienta de línea de comandos de Windows Defender para cargar balizas Cobalt Strike en sistemas comprometidos y evadir la detección por parte del software de seguridad.
Cobalt Strike es un conjunto legítimo de pruebas de penetración con amplias funciones populares entre los actores de amenazas para realizar un reconocimiento de red sigiloso y movimiento lateral antes de robar datos y cifrarlos.
Sin embargo, las soluciones de seguridad han mejorado en la detección de balizas Cobalt Strike, lo que hace que los actores de amenazas busquen formas innovadoras de implementar el conjunto de herramientas.
En un caso de respuesta a un incidente reciente para un ataque de ransomware LockBit, los investigadores de Sentinel Labs notaron el abuso de la herramienta de línea de comandos de Microsoft Defender “MpCmdRun.exe” para descargar archivos DLL maliciosos que descifran e instalan balizas Cobalt Strike.
El compromiso inicial de la red en ambos casos se llevó a cabo mediante la explotación de una falla de Log4j en servidores VMWare Horizon vulnerables para ejecutar el código de PowerShell.
La carga lateral de balizas Cobalt Strike en sistemas comprometidos no es nueva para LockBit, ya que hay informes sobre cadenas de infección similares que se basan en el abuso de las utilidades de línea de comandos de VMware .
Abusar de Microsoft Defender:
Después de establecer el acceso a un sistema de destino y obtener los privilegios de usuario requeridos, los actores de amenazas usan PowerShell para descargar tres archivos: una copia limpia de una utilidad CL de Windows, un archivo DLL y un archivo LOG.
MpCmdRun.exe es una utilidad de línea de comandos para realizar tareas de Microsoft Defender y admite comandos para buscar malware, recopilar información, restaurar elementos, realizar un seguimiento de diagnóstico y más.
Cuando se ejecuta, MpCmdRun.exe cargará una DLL legítima llamada “mpclient.dll” que se requiere para que el programa funcione correctamente.
En el caso analizado por SentinelLabs, los actores de amenazas crearon su propia versión armada de mpclient.dll y la colocaron en una ubicación que prioriza la carga de la versión maliciosa del archivo DLL.
Si bien no está claro por qué el afiliado de LockBit cambió de VMware a las herramientas de línea de comandos de Windows Defender para las incluir Cobalt Strike y su carga lateral, podría ser para eludir las protecciones específicas implementadas en respuesta al método anterior.
El uso de herramientas integradas en el sistema para evadir la detección de EDR y AV es extremadamente común en estos días; por lo tanto, las organizaciones deben verificar sus controles de seguridad y mostrar vigilancia con el seguimiento del uso de ejecutables legítimos que podrían ser utilizados por los atacantes.
