Detecção de Ataque do LockBit 3.0 Ransomware: Implantação de Beacons Cobalt Strike Abusando do Microsoft Defender
Índice:
LockBit os agentes de ameaça recentemente estiveram em destaque no domínio cibernético. Em julho de 2022, o coletivo de hackers ganhou as manchetes ao introduzir o primeiro programa de recompensa por bugs lançado por um grupo de ransomware. Nos ataques cibernéticos mais recentes, o notório grupo de ransomware aplica ferramentas Living-off-the-Land abusando do utilitário de linha de comando legítimo do Microsoft Defender para implantar beacons do Cobalt Strike nos sistemas alvo enquanto utiliza uma série de técnicas anti-análise para evitar detecção.
Detectando Ataques LockBit: Beacons do Cobalt Strike Implantados por Abuso do Microsoft Defender
Desde que surgiu em junho de 2022, a versão do ransomware LockBit 3.0 (também conhecido como LockBit Black) representa uma ameaça crescente para empresas em todo o mundo. A nova cepa apresenta funcionalidades avançadas e usa novas táticas para aumentar as taxas de infecção e garantir lucros para os afiliados do anel RaaS. Para ajudar os profissionais de segurança a identificar a atividade maliciosa associada à campanha mais recente do LockBit, a equipe da SOC Prime lançou uma regra Sigma curada para detectar possível abuso do Microsoft Defender visando o sideloading de beacons do Cobalt Strike.
Possível Sequestro de MpClient.dll (via image_load)
Esta detecção suporta traduções para 20 plataformas SIEM, EDR e XDR. A regra está mapeada para o estrutura MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Sequestro de Ordem de Pesquisa de DLL (T1059) como técnica primária.
Ansioso para criar suas próprias regras Sigma para detectar ameaças emergentes e tornar o mundo um lugar mais seguro? Junte-se ao nosso Programa de Recompensa por Ameaças para defensores cibernéticos, compartilhe seus algoritmos de detecção baseados em Sigma e receba pagamentos repetidos por sua contribuição.
A lista completa de regras Sigma para detectar qualquer cepa de ransomware associada aos hackers LockBit está disponível para todos os usuários registrados da Plataforma Detection as Code. Basta clicar no botão Detect & Hunt e acessar uma lista dedicada de algoritmos disponíveis no repositório da Threat Detection Marketplace. Usuários não registrados podem verificar nosso Motor de Busca de Ameaças Cibernéticas para acessar regras Sigma relevantes acompanhadas de contexto MITRE ATT&CK e links CTI. Pressione o botão Explorar Contexto de Ameaças para uma busca de conteúdo simplificada.
Detect & Hunt Explorar Contexto de Ameaças
Analisando os Ataques de Ransomware LockBit: A Mais Recente Campanha Carregando Beacons do Cobalt Strike
LockBit 3.0 (também conhecido como LockBit Black) ressurgiu na arena de ameaças cibernéticas como a próxima iteração da família LockBit RaaS aperfeiçoada com capacidades mais sofisticadas e apresentando um conjunto de técnicas anti-análise e anti-depuração. A atividade adversária dos operadores do LockBit alavancando o modelo RaaS remonta a 2019 com a rápida evolução das cepas maliciosas aplicadas e um arsenal expandido de ferramentas. Ao longo de 2020-2021, o LockBit ficou entre as cepas maliciosas mais ativas e infames, explorando uma variedade de vetores de ataque e técnicas adversárias para espalhar infecções. Comumente, os mantenedores de ransomware usavam o vetor de ataque de e-mail de phishing para obter acesso inicial ao ambiente comprometido, seguido pelo estágio de reconhecimento para realizar movimento lateral e prosseguir com o processo de infecção. Em junho de 2021, o grupo de ransomware lançou a versão aprimorada LockBit 2.0, armando vulnerabilidades não corrigidas, explorando zero-day e usando uma ampla gama de TTPs adversários.
A iteração mais recente das operações notórias de RaaS abusa da ferramenta Microsoft Defender para implantar cargas úteis do Cobalt Strike em sistemas comprometidos. A cadeia de ataque do LockBit começa ganhando acesso inicial através da nefasta exploração da vulnerabilidade Log4Shell em um servidor VMWare Horizon vulnerável para executar código PowerShell. Após obter os privilégios de usuário necessários, os atacantes tentam lançar ferramentas de pós-exploração e carregar beacons do Cobalt Strike. A utilidade de linha de comando legítima do Microsoft Defender MpCmdRun.exe é aplicada para carregar um arquivo DLL malicioso, que descriptografa e implanta as cargas.
Com os operadores de ransomware LockBit expandindo seu arsenal adversário através do uso de ferramentas Living-off-the-Land, a detecção oportuna de ataques de ransomware complicados em tal escala e sofisticação requer atenção cuidadosa dos defensores cibernéticos. A plataforma Detection as Code da SOC Prime permite que profissionais de cibersegurança aumentem sem esforço suas capacidades de detecção de ameaças e aumentem a velocidade de caça de ameaças, enquanto continuam à frente dos ataques de ransomware atuais e emergentes. Engenheiros de Detecção e Caçadores de Ameaças, experientes e aspirantes, são incentivados a se juntar Programa de Recompensa por Ameaças para enriquecer a expertise colaborativa com seu conteúdo de detecção, monetizar sua contribuição e contribuir para o futuro da defesa cibernética.
