LockBit operator abuses Windows Defender to load Cobalt Strike
2022/07/29 BleepingComputer — ランサムウェア LockBit 3.0 に関連する脅威アクターたちは、Windows Defender のコマンドライン・ツールを悪用して、感染させたシステムに Cobalt Strike Beacon をロードし、セキュリティ・ソフトウェアによる検出を回避していることが明らかになった。Cobalt Strike は、正規のペンテスト・スイートだが、その広範な機能は脅威アクターたちに好まれ、ネットワークでの偵察と横方向の移動をステルスで実行した後に、データを盗んで暗号化するために使用されている。
しかし、それぞれのセキュリティ・ソリューションにおいて、Cobalt Strike Beacon を検出する能力が向上しており、このツールキットを展開する革新的な方法を、脅威アクターたちは探し求めるようになってきた。

Sentinel Labs の研究者たちは、最近に発生した LockBit ランサムウェア攻撃のインシデント・レスポンスにおいて、Microsoft Defender のコマンドライン・ツール MpCmdRun.exe が悪用され、Cobalt Strike Beacon の復号化とインストールを行う、悪質な DLL サイドロードが行われていることに気づいた。
どのようなケースでも、イニシャル・ネットワーク侵害は、脆弱な VMWare Horizon Servers 上の Log4j 欠陥 (CVE-2021-44228) が悪用され、PowerShell コードが実行されることで達成されている。
VMwareの コマンドライン・ユーティリティを悪用し、同様の感染チェーンが報告されているように、感染したシステムに Cobalt Strike Beacon をサイドロードすることは、LockBit にとって新しいことではない。
Microsoft Defender の悪用
ターゲット・システムへのアクセスを確立し、必要なユーザー権限を獲得した後に、脅威アクターたちは PowerShell を用いて、Windows CL utility/DLL file/LOG file のクリーン・コピーをダウンロードする。
MpCmdRun.exe は、Microsoft Defender のタスクを実行するコマンドライン・ユーティリティであり、マルウェアのスキャン/情報収集/アイテムの復元/診断トレースの実行といったコマンドをサポートしている。
MpCmdRun.exe を実行すると、プログラムが正常に動作するために必要な mpclient.dll という名前の正規の DLL がロードされる。
SentinelLabs が分析したケースでは、脅威アクターは独自の武器化したバージョンの mpclient.dll を作成し、優先的にロードが行われる場所に、この悪意の DLL ファイルを配置する。

実行されたコードは、攻撃の初期段階から、他の2つのファイルと一緒にドロップされた c0000015.log ファイルから、暗号化された Cobalt Strike ペイロードをロードし復号化する。

LockBit のアフィリエイトが、Cobalt Strike Beacon をサイドロードするコマンドライン・ツールを、VMware から Windows Defender に変更した理由は不明だが、これまでの手口を阻止するために実装された、標的型防御を回避するためという可能性がある。
EDR や AV の検出を回避するために、その環境で一般的であるツールを使用することは、最近では極めて多く見受けられる。したがって、ユーザー組織はセキュリティ管理を確認し、攻撃者が使用する可能性のある、正規の実行可能ファイルの使用を追跡して、警戒することが必要となっている。
この記事の伏線となりそうなものとして、2022年1月26日の「LockBit の Linux バージョンは VMware ESXi サーバーを標的にする」が見つかりました。そこには、「LockBits はコマンドライン・インターフェースを提供しており、暗号化ファイルのサイズやバイト数や、仮想マシンの実行と停止、空き領域の消去などの指定が可能となっている」と記されています。Conti が解体/分散してしまった今、最も活発に動いている LockBit に注目が集まります。よろしければ、LockBit で検索も、ご利用ください。

You must be logged in to post a comment.