گردانندگان باج‌افزار LockBit ۳.۰ که به LockBit Black نیز معروف است از خط فرمان Windows Defender و یک‌سری روال‌های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می‌کنند.

گردانندگان باج‌افزار LockBit ۳.۰ که به LockBit Black نیز معروف است از خط فرمان Windows Defender و یک‌سری روال‌های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کرده بودند که LockBit از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe برای بارگذاری و تزریق Cobalt Strike استفاده می‌کند.

Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگی‌های گسترده‌ای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در شبکه پیش از سرقت و رمزگذاری داده‌ها استفاده می‌شود.

در تحقیقات اخیر، محققان پی بردند که مهاجمان از خط فرمان Windows Defender به نام Windows Defender MpCmdRun.exe برای رمزگشایی و دانلود کدهای مخرب Cobalt Strike سوءاستفاده می‌کنند.

در این حملات، نفوذ اولیه به هدف موردنظر از طریق آسیب‌پذیری Log۴j در سرور VMWare Horizon وصله‌ نشده صورت می‌گیرد. مهاجمان مؤلفه Blast Secure Gateway برنامه را با نصب یک پوسته وب (Web Shell) و از طریق فرمان‌های PowerShell تغییر دادند که در اینجا جزئیات آن بررسی شده است.

پس از نفوذ اولیه، مهاجمان با استفاده از فرمان‌هایی تلاش می‌کنند که چندین ابزار از جمله Meterpreter و PowerShell Empire را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.

در این سری از حملات، به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده می‌شود که کد مخرب را رمزگشایی می‌کند. مهاجمان DLL مخرب، کد بدافزاری و ابزار معتبر را با به‌کارگیری ابزار معتبر خط فرمان Windows Defender به نام MpCmdRun.exe از سرور کنترل و فرماندهی خود (Command-and-Control – به‌اختصار C۲) دانلود می‌کنند.

همچنین DLL مخرب همانند تکنیک‌های به کارگرفته شده پیشین با حذف userland hook EDR/EPP، از ابزارهای تشخیصی فرار و ردیابی رویدادها را برای Windows و رابط پویش ضدبدافزاری دشوار می‌سازد.