{"id":277967,"date":"2023-10-21T10:16:00","date_gmt":"2023-10-21T07:16:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=277967"},"modified":"2025-03-14T01:25:54","modified_gmt":"2025-03-13T22:25:54","slug":"lockbit-ransomware-nutzt-windows-defender-aus-um-cobalt-strike-zu-laden","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/de\/lockbit-ransomware-nutzt-windows-defender-aus-um-cobalt-strike-zu-laden\/","title":{"rendered":"LockBit Ransomware nutzt Windows Defender aus, um Cobalt Strike zu laden"},"content":{"rendered":"\n

Eine Art von Ransomware namens \u201eLockBit 3.0″ wird verwendet, um Cobalt Strike-Payloads \u00fcber das Windows Defender-Befehlszeilentool bereitzustellen.<\/p>\n

Ein b\u00f6swilliger Akteur verwendet eine Ransomware namens LockBit 3.0, um das Windows Defender-Befehlszeilentool auszunutzen. Dabei werden Cobalt Strike Beacon-Nutzlasten eingesetzt.<\/p>\n

Windows-Benutzer sind durch Ransomware-Angriffe gef\u00e4hrdet<\/h2>\n

Das Cybersicherheitsunternehmen SentinelOne hat einen neuen Bedrohungsakteur gemeldet, der die Ransomware LockBit 3.0 (auch bekannt als LockBit Black) verwendet, um die Datei MpCmdRun.exe zu missbrauchen, ein Befehlszeilendienstprogramm, das einen integralen Bestandteil des Windows-Sicherheitssystems bildet. MpCmdRun.exe kann nach Malware scannen, daher ist es nicht verwunderlich, dass sie Ziel dieses Angriffs ist.<\/p>\n

LockBit 3.0 ist eine neue Malware-Iteration, die Teil der bekannten LockBit Ransomware-as-a-Service (RaaS)<\/a> -Familie ist, die zahlenden Kunden Ransomware-Tools anbietet.<\/p>\n

LockBit 3.0 wird verwendet, um Cobalt Strike-Nutzlasten nach der Ausbeutung einzusetzen, was zu Datendiebstahl f\u00fchren kann. Cobalt Strike kann auch die Erkennung von Sicherheitssoftware umgehen, was es dem b\u00f6swilligen Akteur erleichtert, auf vertrauliche Informationen auf dem Ger\u00e4t eines Opfers zuzugreifen und diese zu verschl\u00fcsseln.<\/p>\n

Bei dieser Side-Loading-Technik wird das Dienstprogramm Windows Defender auch dazu verleitet, eine b\u00f6sartige DLL (Dynamic Link Library)<\/a> zu priorisieren und zu laden, die dann die Cobalt Strike-Nutzdaten \u00fcber eine .log-Datei entschl\u00fcsseln kann.<\/p>\n

LockBit wurde bereits verwendet, um die VMWare-Befehlszeile zu missbrauchen<\/h2>\n

In der Vergangenheit wurde auch festgestellt, dass LockBit 3.0-Akteure eine ausf\u00fchrbare VMWare-Befehlszeilendatei namens VMwareXferlogs.exe ausgenutzt haben, um Cobalt Strike-Beacons bereitzustellen. Bei dieser DLL-Seitenladetechnik nutzte der Angreifer die Log4Shell-Schwachstelle aus und brachte das VMWare-Dienstprogramm dazu, eine b\u00f6sartige DLL anstelle der urspr\u00fcnglichen, harmlosen DLL zu laden.<\/p>\n

\"LockBit<\/a><\/p>\n

Es ist auch nicht bekannt, warum die b\u00f6swillige Partei zum Zeitpunkt des Schreibens begonnen hat, Windows Defender anstelle von VMWare auszunutzen.<\/p>\n

SentinelOne meldet, dass VMWare und Windows Defender ein hohes Risiko darstellen<\/h2>\n

Im Blogbeitrag von SentinelOne<\/a> zu den LockBit 3.0-Angriffen wurde festgestellt, dass \u201eVMware und Windows Defender eine hohe Verbreitung in Unternehmen und einen hohen Nutzen f\u00fcr Bedrohungsakteure haben, wenn ihnen erlaubt wird, au\u00dferhalb der installierten Sicherheitskontrollen zu operieren“.<\/p>\n

Angriffe dieser Art, bei denen Sicherheitsma\u00dfnahmen umgangen werden, werden immer h\u00e4ufiger, wobei VMWare und Windows Defender zu wichtigen Zielen bei solchen Unternehmungen gemacht wurden.<\/p>\n

LockBit-Angriffe zeigen keine Anzeichen f\u00fcr ein Ende<\/h2>\n

Obwohl diese neue Welle von Angriffen von verschiedenen Cybersicherheitsunternehmen erkannt wurde, werden immer noch Techniken verwendet, die vom Land leben, um Dienstprogramme auszunutzen und b\u00f6sartige Dateien f\u00fcr den Datendiebstahl bereitzustellen. Es ist nicht bekannt, ob in Zukunft noch mehr Utility-Tools mit LockBit 3.0 oder einer anderen Iteration der LockBit RaaS-Familie missbraucht werden.<\/p>\n

Aufnahmequelle: www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

Eine Art von Ransomware namens \u201eLockBit 3.0\u201c wird verwendet, um Cobalt Strike-Payloads \u00fcber das Windows Defender-Befehlszeilentool bereitzustellen.<\/p>\n","protected":false},"author":1,"featured_media":164019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[1142],"tags":[3058],"class_list":["post-277967","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","tag-affiai-de"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/posts\/277967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/comments?post=277967"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/posts\/277967\/revisions"}],"predecessor-version":[{"id":305028,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/posts\/277967\/revisions\/305028"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/media\/164019"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/media?parent=277967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/categories?post=277967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/de\/wp-json\/wp\/v2\/tags?post=277967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}