ランサムウェア被害

LockBit ランサムウェアが Windows Defender を悪用し Cobalt Strike をロード

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

LockBit 3.0 ランサムウェアを作成している攻撃者は、Windows Defenderのコマンドラインツールである正規の「MpCmdRun.exe」を悪用し、本ツールが使用する「mpclient.dll」を改変したものを優先してロードするよう設定変更します。

実行されたコードは、暗号化された Cobalt Strike ペイロードを「c0000015.log」ファイルからロードして復号化します。これは、攻撃の初期段階から他の 2 つのファイルとともにドロップされます。

LockBit 3.0 ランサムウェア

一般的なセキュリティソフトであれば、正規の「MpCmdRun.exe」の実行であるためバイパスしてしまう可能性があり、またWindows Defenderのみを利用しているユーザーは、マイクロソフトが、改変されたmpclient.dllのサイドローディングを防止するまでの間、LockBit ランサムウェアの活動を許してしまうことになります。

プロアクティブ型セキュリティ製品であるPC Matic(法人版/個人版)では、マルウェア分析官により、デジタルフォレンジックを経ていないmpclient.dllは、もちろん標準拒否設定にてローディングが阻止されるため、このテクニックを利用した LockBit 3.0 による影響を受けることはありません。

また、Cobalt Strike ペイロードを「c0000015.log」ファイルからロードして復号化するステップにおいても、未認証の複合化処理は標準拒否されているため、ペイロード自身が復元されることはありません。二重の阻止ができていることになります。

アプリケーション・ホワイトリスト方式は、アメリカ連邦政府の政府調達要件にて、政府での運用基準に準拠したNIST CMMC Level5を個人・法人にも提供し、あらゆる脅威からプロアクティブ方式で防御します。そして通常利用においては、既存セキュリティソフトと変わらぬ運用性を持ちます。

元記事:LockBit ransomware abuses Windows Defender to load Cobalt Strike

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る