[English]Sicherheitsforscher von Sentinel One sind auf einen interessanten Angriffsweg unter Windows gestoßen, die die Ransomware-Gang Lockbit beschreitet. Die Gruppe nutzt in ihrem Ransomware-Baukasten den Windows Defender, um über diesen das Testtool Cobalt Strike zu laden und dann zu missbrauchen. Dabei wird das (ungepatchte) Zielsystem über die Log4j-Schwachstelle angegriffen.
Anzeige
Die Ransomware-Gruppe LockBit erhielt in letzter Zeit viel Aufmerksamkeit und inzwischen gibt es LockBit 3.0 dieser Schadsoftware. In dieser Version sind eine Reihe von Anti-Analyse- und Anti-Debugging-Funktionen implementiert. Dabei nutzt die Gruppe auch die 'Living off the Land'-Technik (LotL) einsetzen, um Cobalt Strike zu laden.
'Living off the Land'-Angriffe benutzen ein auf Betriebssystemebene bereits vorhandene Programmdatei, um schädlichen Code zu laden. Bei LockBit wurde bereits im April von SentinelLabs berichtet, dass die Gruppe das VMware Command Line Tool, VMwareXferlogs.exe, missbraucht, um Cobalt Strike zu laden.
Angriffsweg, Quelle: SentinelOne
Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es wird aber auch häufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet, so die Wikipedia.
Anzeige
Windows Defender missbraucht
Inzwischen sind die Sicherheitsforscher von SentinelLabs auf einen Vorfall gestoßen, in dem von einem LockBit-Betreiber oder -Partner der Windows Defender als Lader zweckentfremdet wurde. Bei einer kürzlich durchgeführten Untersuchung wurde festgestellt, dass die Bedrohungsakteure das Windows Defender-Befehlszeilentool MpCmdRun.exe missbrauchen, um Cobalt Strike-Nutzdaten zu entschlüsseln und zu laden.
MpCmdRun.exe ist ein Befehlszeilendienstprogramm zur Durchführung von Microsoft Defender-Aufgaben und unterstützt Befehle zum Scannen nach Malware, zum Sammeln von Informationen, zum Wiederherstellen von Elementen, zum Durchführen von Diagnosen und mehr. Der Angreifer geht dabei in Schritten vor.
Sobald ein Windows-System mit einer Log4j-Schwachstelle gefunden wird, versuchen die Angreifer eine PowerShell zu starten. Sobald der Bedrohungsakteur ausreichende Rechte erlangt hatte, versuchte er, mehrere Nutzdaten nach der Ausnutzung herunterzuladen und auszuführen.
Im konkreten Fall wird auch eine manipulierte DLL-Datei mpclient.dll von einem Angriffsserver in einen Pfad gespeichert, von dem bekannt ist, dass Windows dort DLLs lädt. Diese Technik ist als DLL-Hijacking häufiger hier im Blog skizziert worden. Dann nutzen die Angreifer das legitime Windows Defender-Befehlszeilentool MpCmdRun.exe, um Cobalt Strike-Nutzdaten zu entschlüsseln und zu laden.
Mit dieser Technik hofft der Angreifer, Sicherheitstools unter Windows auszutricksen, da MpCmdRun.exe ja eine legale und signierte Anwendung ist. Das Cobalt Strike Beacon wird dabei von der Datei mpclient.dll aus der Datei c0000015.log geladen, und entschlüsselt. Anschließend versuchte der Bedrohungsakteur, Cobalt Strike auszuführen und dann die Ausgaben an eine IP-Adresse auf einem kontrollierten Server zu senden.
Die Lehre aus diesem Vorfall lautet, dass alle Tools, für die entweder das Unternehmen oder die Sicherheitssoftware des Unternehmens Ausnahmen festgelegt hat, sorgfältig geprüft werden sollten. Produkte wie VMware und Windows Defender sind im Unternehmen weit verbreitet und bieten Bedrohungsakteuren einen hohen Nutzen, wenn sie außerhalb der installierten Sicherheitskontrollen eingesetzt werden dürfen. Details lassen sich in diesem Blog-Beitrag der Sicherheitsforscher nachlesen. (via)
Anzeige
Wird denn eigentlich der Windows Defender bei Einsatz einer anderen Virenschutzlösung wirklich deinstalliert oder nur deaktiviert – mit der Folge, dass das missbrauchte Programm dann ja trotzdem auf dem Windows10-Rechner vorhanden wäre?
"'Living off the Land'-Angriffe benutzen ein auf Betriebssystemebene bereits vorhandene Programmdatei, um schädlichen Code zu laden."
Soweit korrekt.
Dummerweise ist Missbrauch von MpCmdRun.exe im hier beschriebenen Angriff KEIN "living of the land": der Angreifer lädt (eine VERALTETE Version von) MpCmdRun.exe herunter und speichert sie NEBEN seiner eigenen MpClient.dll in einem Verzeichnis unterhalb von C:\Windows\Help\…
Das heruntergeladene MpCmdRun.exe lädt MpClient.dll amschliessend aus seinem "application directory"
JFTR: das System ist schon VOR dem Laden und Ausführen der MpClient.dll KOMPROMITTIERT, da die zum Herunterladen benutzte PoserShell zum Speichern unterhalb von C:\Windows\Help\… bereits mit Administratorrechten laufen muss.
JFTR2: würden die UNSÄGLICH schlampigen Frickler Microsofts ENDLICH die Sicherheitsvorgaben ihrer eigenen Klitsche beachten, d.h. den Suchpfad mittels SetDefaultDllDirectories(LOAD_LIBRARY_SEARCH_SYSTEM32), LoadLibraryEx(…, LOAD_LIBRARY_SEARCH_SYSTEM32) sowie LINK.exe /DEPENDENTLOADFLAG.LOAD_LIBRARY_SEARCH_SYSTEM32) beschränken (siehe https://skanthak.homepage.t-online.de/!execute.html) dann könnten Programme wie MpCmdRun.exe NICHT zum Laden beliebiger DLLs missbraucht werden.
Danke für die weitere Ausführung. Ich war schon verwundert warum der Download mit MpCmdRun.exe schon wieder funktioniert, wo die das doch gleich wieder entsorgt hatten.
D.h. wir können den Suchpfad nicht selber einschränken?
Genau deswegen deaktiviere ich Defender immer nach einer Neuinstallation. Ist mir zu sehr Einfallstor für Angriffe. Bin damit bisher sehr gut gefahren.
Nützt in dem Fall nur nix…s. Kommentar v. Stefan Kanthak