LockBit攻击者滥用Defender来感染设备
在博文中,SentinelOne 表示:"在近期的调查中,我们发现威胁者滥用WindowsDefender 命令行工具 MpCmdRun.exe 来破译和加载 Cobalt Strike"。
这种攻击方式和此前曝光的 VMWare CLI 案件非常相似。攻击者利用 Log4j 漏洞下载 MpCmdRun,执行从 Command-and-Control (C2) 服务器下载恶意 DLL 文件和经过加密的 Cobalt Strike payload 文件,从而感染受害者的系统。
滥用的 MpCmd.exe 可以侧载经过改装的 mpclient.dll,该 dll 文件从 c0000015.log 文件中加载和解密 Cobalt Strike Beacond。
转载声明:本文为转载发布,仅代表原作者或原平台态度,不代表我方观点。今日澳洲仅提供信息发布平台,文章或有适当删改。对转载有异议和删稿要求的原著方,可联络content@sydneytoday.com。
相关新闻
今日评论
网友评论仅供其表达个人看法,并不表明网站立场。
最新评论(0)
暂无评论
热评新闻