Détection des Attaques du Ransomware LockBit 3.0 : Déploiement de Balises Cobalt Strike en Abusant de Microsoft Defender
Table des matières :
LockBit les acteurs malveillants ont récemment été sous les projecteurs dans le domaine cyber. En juillet 2022, le collectif de pirates a fait la une en introduisant le tout premier programme de prime aux bogues lancé par un groupe de ransomware. Dans les dernières cyberattaques, le groupe de ransomware notoire applique les outils Living-off-the-Land en abusant de l’utilitaire en ligne de commande légitime de Microsoft Defender pour déployer des balises Cobalt Strike sur les systèmes ciblés tout en utilisant une série de techniques anti-analyse pour échapper à la détection.
Détecter les attaques LockBit : Balises Cobalt Strike Déployées en Abusant de Microsoft Defender
Depuis son apparition en juin 2022, la version ransomware LockBit 3.0 (alias LockBit Black) représente une menace croissante pour les entreprises du monde entier. Cette nouvelle souche présente des fonctionnalités avancées et exploite de nouvelles tactiques pour augmenter les taux d’infection et garantir les bénéfices pour les affiliés du modèle RaaS. Pour aider les praticiens de la sécurité à identifier l’activité malveillante associée à la dernière campagne LockBit, l’équipe SOC Prime a publié une règle Sigma organisée pour détecter un éventuel abus de Microsoft Defender visant le chargement latéral de balises Cobalt Strike.
Possible détournement de MpClient.dll (via image_load)
Cette détection prend en charge les traductions vers 20 plateformes SIEM, EDR et XDR. La règle est mappée au cadre MITRE ATT&CK® v.10, répondant à la tactique d’évasion de la défense avec le détournement d’ordre de recherche DLL (T1059) comme technique principale.
Envie de créer vos propres règles Sigma pour détecter les menaces émergentes et rendre le monde plus sûr ? Rejoignez notre Programme de prime aux menaces pour les cyber défenseurs, partagez vos algorithmes de détection basés sur Sigma et recevez des paiements répétés pour votre contribution.
La liste complète des règles Sigma pour détecter toute souche de ransomware associée aux pirates LockBit est disponible pour tous les utilisateurs enregistrés de la plateforme Detection as Code. Appuyez simplement sur le bouton Detect & Hunt et accédez à une liste dédiée d’algorithmes disponibles depuis le dépôt de la Marketplace de détection des menaces. Les utilisateurs non enregistrés peuvent consulter notre moteur de recherche de menaces cyber pour accéder aux règles Sigma pertinentes accompagnées de contexte MITRE ATT&CK et de liens CTI. Appuyez sur le bouton Explore Threat Context pour une recherche de contenu rationalisée.
Detect & Hunt Explore Threat Context
Analyser les Attaques Ransomware LockBit : La Dernière Campagne Chargeant des Balises Cobalt Strike
LockBit 3.0 (alias LockBit Black) a refait surface dans l’arène des menaces cyber comme la prochaine itération de la famille LockBit RaaS améliorée avec des capacités plus sophistiquées et comportant un ensemble de techniques anti-analyse et anti-débogage. L’activité adversaire des opérateurs LockBit exploitant le modèle RaaS remonte à 2019 avec l’évolution rapide des souches malveillantes appliquées et un arsenal d’outils élargi. Tout au long de 2020-2021, LockBit s’est classé parmi les souches malveillantes les plus actives et les plus infâmes utilisant une variété de vecteurs d’attaque et de techniques adversaires pour propager l’infection. Couramment, les mainteneurs de ransomware utilisaient le vecteur d’attaque d’e-mail de phishing pour obtenir un accès initial à l’environnement compromis, suivi de la phase de reconnaissance pour effectuer des mouvements latéraux et poursuivre le processus d’infection. En juin 2021, le groupe de ransomware a publié la version améliorée LockBit 2.0, exploitant des vulnérabilités non corrigées, des exploits zero-day et utilisant un large éventail de TTP adversaires.
La dernière itération des opérations notoires RaaS abuse de l’outil Microsoft Defender pour déployer des charges Cobalt Strike sur les systèmes compromis. La chaîne d’attaque LockBit commence par obtenir un accès initial via l’exploitation de la vulnérabilité Log4Shell sur le serveur VMWare Horizon vulnérable pour exécuter du code PowerShell. Après avoir obtenu les privilèges utilisateur requis, les attaquants tentent de lancer des outils post-exploitation et de charger des balises Cobalt Strike. L’utilitaire en ligne de commande légitime de Microsoft Defender MpCmdRun.exe est appliqué pour charger latéralement un fichier DLL malveillant, qui décrypte et déploie les charges.
Avec les opérateurs de ransomware LockBit élargissant leur arsenal d’outils adversaires grâce à l’utilisation des outils Living-off-the-Land, la détection en temps opportun des attaques de ransomware de cette ampleur et sophistication nécessite une attention aiguë de la part des cyber défenseurs. La plateforme Detection as Code de SOC Prime permet aux professionnels de la cybersécurité d’améliorer sans effort leurs capacités de détection des menaces et d’augmenter la vitesse de chasse aux menaces tout en restant constamment en avance sur les attaques de ransomware actuelles et émergentes. Les ingénieurs de détection et chasseurs de menaces expérimentés et en devenir sont invités à rejoindre Programme de prime aux menaces pour enrichir l’expertise collaborative avec leur contenu de détection, monétiser leur apport et contribuer à l’avenir de la défense cyber.
