LockBit の新戦術:Windows Defender を悪用して Cobalt Strike をロードする経路を発見

LockBit operator abuses Windows Defender to load Cobalt Strike

2022/07/29 BleepingComputer — ランサムウェア LockBit 3.0 に関連する脅威アクターたちは、Windows Defender のコマンドライン・ツールを悪用して、感染させたシステムに Cobalt Strike Beacon をロードし、セキュリティ・ソフトウェアによる検出を回避していることが明らかになった。Cobalt Strike は、正規のペンテスト・スイートだが、その広範な機能は脅威アクターたちに好まれ、ネットワークでの偵察と横方向の移動をステルスで実行した後に、データを盗んで暗号化するために使用されている。

しかし、それぞれのセキュリティ・ソリューションにおいて、Cobalt Strike Beacon を検出する能力が向上しており、このツールキットを展開する革新的な方法を、脅威アクターたちは探し求めるようになってきた。


Sentinel Labs の研究者たちは、最近に発生した LockBit ランサムウェア攻撃のインシデント・レスポンスにおいて、Microsoft Defender のコマンドライン・ツール MpCmdRun.exe が悪用され、Cobalt Strike Beacon の復号化とインストールを行う、悪質な DLL サイドロードが行われていることに気づいた。

どのようなケースでも、イニシャル・ネットワーク侵害は、脆弱な VMWare Horizon Servers 上の Log4j 欠陥 (CVE-2021-44228) が悪用され、PowerShell コードが実行されることで達成されている。

VMwareの コマンドライン・ユーティリティを悪用し、同様の感染チェーンが報告されているように、感染したシステムに Cobalt Strike Beacon をサイドロードすることは、LockBit にとって新しいことではない。

Microsoft Defender の悪用

ターゲット・システムへのアクセスを確立し、必要なユーザー権限を獲得した後に、脅威アクターたちは PowerShell を用いて、Windows CL utility/DLL file/LOG file のクリーン・コピーをダウンロードする。

MpCmdRun.exe は、Microsoft Defender のタスクを実行するコマンドライン・ユーティリティであり、マルウェアのスキャン/情報収集/アイテムの復元/診断トレースの実行といったコマンドをサポートしている。

MpCmdRun.exe を実行すると、プログラムが正常に動作するために必要な mpclient.dll という名前の正規の DLL がロードされる。

SentinelLabs が分析したケースでは、脅威アクターは独自の武器化したバージョンの mpclient.dll を作成し、優先的にロードが行われる場所に、この悪意の DLL ファイルを配置する。 

Abused executable signed by Microsoft (Sentinel Labs)

実行されたコードは、攻撃の初期段階から、他の2つのファイルと一緒にドロップされた c0000015.log ファイルから、暗号化された Cobalt Strike ペイロードをロードし復号化する。

LockBit 3.0 attack chain (Sentinel Labs)

LockBit のアフィリエイトが、Cobalt Strike Beacon をサイドロードするコマンドライン・ツールを、VMware から Windows Defender に変更した理由は不明だが、これまでの手口を阻止するために実装された、標的型防御を回避するためという可能性がある。

EDR や AV の検出を回避するために、その環境で一般的であるツールを使用することは、最近では極めて多く見受けられる。したがって、ユーザー組織はセキュリティ管理を確認し、攻撃者が使用する可能性のある、正規の実行可能ファイルの使用を追跡して、警戒することが必要となっている。

この記事の伏線となりそうなものとして、2022年1月26日の「LockBit の Linux バージョンは VMware ESXi サーバーを標的にする」が見つかりました。そこには、「LockBits はコマンドライン・インターフェースを提供しており、暗号化ファイルのサイズやバイト数や、仮想マシンの実行と停止、空き領域の消去などの指定が可能となっている」と記されています。Conti が解体/分散してしまった今、最も活発に動いている LockBit に注目が集まります。よろしければ、LockBit で検索も、ご利用ください。

%d bloggers like this: