LockBit勒索软件利用Windows Defender逃避检测(2022.08.05)

Sentinel Labs的研究人员发现，在最近一起LockBit勒索软件攻击的事件中，威胁行为者利用Microsoft Defender的命令行工具“MpCmdRun.exe”来侧载解密和安装Cobalt Strike信标的恶意DLL。执行时，MpCmdRun.exe将加载一个名为“mpclient.dll”的合法DLL，这是程序正常运行所必需的。在研究人员分析的案例中，攻击者创建了自己的mpclient.dll武器化版本，并将其放置在优先加载恶意版本DLL文件的位置。执行的代码从“c000015.log”文件加载并解密加密的Cobalt Strike有效载荷，该文件与攻击早期阶段的其他两个文件一起部署。 完整报告可在https://www.bleepingcomputer.com/下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理