Хакеры начали использовать уязвимость Windows Defender, чтобы загружать вирусы

Командная строка антивируса позволяет устанавливать сторонние DLL‑библиотеки.

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Что случилось

Злоумышленники нашли способ использовать инструменты командной строки в Windows Defender, чтобы загружать на устройства вирусы семейства Cobalt Strike. Эксперты по кибербезопасности из компании SentinelOne рассказали, что хакеры используют MpCmdRun.exe для расшифровки и загрузки вируса.

Как они это делают

Подгрузка вируса через Windows Defender — один из этапов атаки. Сначала хакеры проникли в систему VMWare Horizon Server, в которой до сих пор не исправлена уязвимость Log4j, и изменили компонент Blast Secure Gateway, позволяющий через Windows Defender скачивать файлы на устройства жертвы.

После получения доступа к системе злоумышленники скачивают с сервера в систему пользователя заражённый DLL-файл. Он содержит в себе исполняемую программу MpCmdRun.exe. Эта программа легитимна и даже содержит рабочую цифровую подпись.

Вместе с MpCmdRun.exe дополнительно скачивается mpclient.dll. Это модифицированная библиотека, которую MpCmdRun.exe загружает автоматически и которая расшифровывает тело вируса Cobalt Strike, расположенного в файле C0000015.log.

Как тогда защититься

Главная проблема в том, что этот процесс абсолютно легитимен. Специалисты из SentinelOne утверждают, что вирус обходит антивирусы:

«Необходимо иметь в виду, что хакеры LockBit исследуют и используют новые инструменты living off the land — легитимные локальные средства, которые позволяют подгружать вирус Cobalt Strike и успешно обходят некоторые типичные EDR-системы и антивирусы».

В апреле 2022 года те же исследователи из SentinelOne заметили, что группа хакеров LockBit пыталась эксплуатировать в тех же целях другую утилиту — VMwareXferlogs.exe. При атаках тоже использовался вредоносный DLL-файл.

Читайте также: