{"id":271258,"date":"2022-08-05T19:54:32","date_gmt":"2022-08-05T17:54:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271258"},"modified":"2022-08-05T23:28:39","modified_gmt":"2022-08-05T21:28:39","slug":"lockbit-missbrauchen-windows-defender-um-cobalt-strike-zu-laden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/05\/lockbit-missbrauchen-windows-defender-um-cobalt-strike-zu-laden\/","title":{"rendered":"Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/08\/05\/lockbit-missbrauchen-windows-defender-um-cobalt-strike-zu-laden\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von Sentinel One sind auf einen interessanten Angriffsweg unter Windows gesto\u00dfen, die die Ransomware-Gang Lockbit beschreitet. Die Gruppe nutzt in ihrem Ransomware-Baukasten den Windows Defender, um \u00fcber diesen das Testtool Cobalt Strike zu laden und dann zu missbrauchen. Dabei wird das (ungepatchte) Zielsystem \u00fcber die Log4j-Schwachstelle angegriffen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/6e4b17af7a2a4cdbbe8bb5a7af694a66\" alt=\"\" width=\"1\" height=\"1\" \/>Die Ransomware-Gruppe LockBit erhielt in letzter Zeit viel Aufmerksamkeit und inzwischen gibt es LockBit 3.0 dieser Schadsoftware. In dieser Version sind eine Reihe von Anti-Analyse- und Anti-Debugging-Funktionen implementiert. Dabei nutzt die Gruppe auch die '<em>Living off<\/em> the <em>Land<\/em>'-Technik (LotL) einsetzen, um Cobalt Strike zu laden.<\/p>\n<p>'<em>Living off<\/em> the <em>Land<\/em>'-Angriffe benutzen ein auf Betriebssystemebene bereits vorhandene Programmdatei, um sch\u00e4dlichen Code zu laden. Bei LockBit wurde bereits im April von SentinelLabs berichtet, dass die Gruppe das <a href=\"https:\/\/www.sentinelone.com\/labs\/lockbit-ransomware-side-loads-cobalt-strike-beacon-with-legitimate-vmware-utility\/\" target=\"_blank\" rel=\"noopener\">VMware Command Line Tool<\/a>, <code><em>VMwareXferlogs.exe<\/em><\/code>, missbraucht, um Cobalt Strike zu laden.<\/p>\n<p><img decoding=\"async\" title=\"Lockbit uses Windows Defender to load Cobalt Strike \" src=\"https:\/\/i.imgur.com\/snc9Znu.png\" alt=\"Lockbit uses Windows Defender to load Cobalt Strike \" \/><br \/>\nAngriffsweg, Quelle: SentinelOne<\/p>\n<p>Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrma\u00dfnahmen zu testen und die eigene Computersicherheit zu erh\u00f6hen. Es wird aber auch h\u00e4ufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet, so die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Cobalt_Strike\" target=\"_blank\" rel=\"noopener\">Wikipedia<\/a>.<\/p>\n<h2>Windows Defender missbraucht<\/h2>\n<p>Inzwischen sind die Sicherheitsforscher von SentinelLabs auf einen\u00a0 Vorfall gesto\u00dfen, in dem von einem LockBit-Betreiber oder -Partner der Windows Defender als Lader zweckentfremdet wurde. Bei einer k\u00fcrzlich durchgef\u00fchrten Untersuchung wurde festgestellt, dass die Bedrohungsakteure das Windows Defender-Befehlszeilentool <em>MpCmdRun.exe <\/em>missbrauchen, um Cobalt Strike-Nutzdaten zu entschl\u00fcsseln und zu laden.<\/p>\n<p>MpCmdRun.exe ist ein Befehlszeilendienstprogramm zur Durchf\u00fchrung von Microsoft Defender-Aufgaben und unterst\u00fctzt Befehle zum Scannen nach Malware, zum Sammeln von Informationen, zum Wiederherstellen von Elementen, zum Durchf\u00fchren von Diagnosen und mehr. Der Angreifer geht dabei in Schritten vor.<\/p>\n<p>Sobald ein Windows-System mit einer Log4j-Schwachstelle gefunden wird, versuchen die Angreifer eine PowerShell zu starten. Sobald der Bedrohungsakteur ausreichende Rechte erlangt hatte, versuchte er, mehrere Nutzdaten nach der Ausnutzung herunterzuladen und auszuf\u00fchren.<\/p>\n<p>Im konkreten Fall wird auch eine manipulierte DLL-Datei <em>mpclient.dll<\/em> von einem Angriffsserver in einen Pfad gespeichert, von dem bekannt ist, dass Windows dort DLLs l\u00e4dt. Diese Technik ist als DLL-Hijacking h\u00e4ufiger hier im Blog skizziert worden. Dann nutzen die Angreifer das legitime Windows Defender-Befehlszeilentool <em>MpCmdRun.exe<\/em>, um Cobalt Strike-Nutzdaten zu entschl\u00fcsseln und zu laden.<\/p>\n<p>Mit dieser Technik hofft der Angreifer, Sicherheitstools unter Windows auszutricksen, da <em>MpCmdRun.exe <\/em>ja eine legale und signierte Anwendung ist. Das Cobalt Strike Beacon wird dabei von der Datei <em>mpclient.dll <\/em>aus der Datei c0000015.log geladen, und entschl\u00fcsselt. Anschlie\u00dfend versuchte der Bedrohungsakteur, Cobalt Strike auszuf\u00fchren und dann die Ausgaben an eine IP-Adresse auf einem kontrollierten Server zu senden.<\/p>\n<p>Die Lehre aus diesem Vorfall lautet, dass alle Tools, f\u00fcr die entweder das Unternehmen oder die Sicherheitssoftware des Unternehmens Ausnahmen festgelegt hat, sorgf\u00e4ltig gepr\u00fcft werden sollten. Produkte wie VMware und Windows Defender sind im Unternehmen weit verbreitet und bieten Bedrohungsakteuren einen hohen Nutzen, wenn sie au\u00dferhalb der installierten Sicherheitskontrollen eingesetzt werden d\u00fcrfen. Details lassen sich in <a href=\"https:\/\/www.sentinelone.com\/blog\/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> der Sicherheitsforscher nachlesen.\u00a0 (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-abuses-windows-defender-to-load-cobalt-strike\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Sentinel One sind auf einen interessanten Angriffsweg unter Windows gesto\u00dfen, die die Ransomware-Gang Lockbit beschreitet. Die Gruppe nutzt in ihrem Ransomware-Baukasten den Windows Defender, um \u00fcber diesen das Testtool Cobalt Strike zu laden und dann zu missbrauchen. Dabei &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/05\/lockbit-missbrauchen-windows-defender-um-cobalt-strike-zu-laden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-271258","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271258","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271258"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271258\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271258"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271258"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271258"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}