Ini adalah celah bagi admin: Para peneliti telah menemukan aktor ancaman yang mencapai akses tingkat admin pada sistem yang ditargetkan dengan menggunakan pengunduh baru yang canggih dan beberapa alat eskalasi hak istimewa dari keluarga โkentangโ.
โCherryLoaderโ adalah pemuat modular multitahap ditulis dalam bahasa Golang, yang dengan nama dan logonya berupaya menyamar sebagai yang sah Perangkat lunak pencatat โCherrytreeโ..
Dalam dua intrusi baru-baru ini diamati oleh analis di Arctic Wolf, seorang penyerang yang bekerja dari IP di Belanda menggunakan CherryLoader untuk menjatuhkan dua alat siap pakai yang terkenal untuk mendapatkan akses admin. Terakhir, di akhir rantai serangan, musuh menyebarkan skrip bash untuk menghilangkan alat keamanan Windows.
Namun, fitur paling bagus dari CherryLoader adalah kemampuannya untuk menukar payload dengan mulus tanpa harus mengkompilasi ulang kode apa pun.
โKemampuan untuk menukar muatan dalam kasus ini adalah artefak dari desain modular malware,โ manajer senior penelitian keamanan Arctic Wolf, Kirk Soluk menjelaskan. โSecara umum, malware, baik itu pengunduh, botnet, RAT, dll., telah menjadi lebih modular dan tidak terlalu monolitik seiring berjalannya waktu, jadi di sini kami memiliki penulis yang menggunakan bahasa yang lebih modern [Go] dan mengikuti pola desain yang umum. โ
Semangkuk Malware CherryLoader
Seperti disebutkan, penyerang di balik dua intrusi baru-baru ini menggunakan fleksibilitas modular CherryLoader untuk menerapkan dua alat eskalasi hak istimewa yang tersedia untuk umum: CetakSpoofer dan Kentang BerairNG.
Yang terakhir adalah iterasi terbaru dari rangkaian panjang bertema kentang alat peningkatan hak istimewa (asli Kentang juicy, BadPotato), sebagaimana dibuktikan dalam promosi penjualannya yang membosankan: โ[alat] peningkatan hak istimewa lokal Windows lainnya dari akun layanan ke sistem.โ
Yang pertama adalah alat yang populer, dengan 323 fork sejak dirilis lebih dari tiga tahun lalu. Itu juga, menurut penulisnya, mengikuti silsilah kentang dari eskalator hak istimewa Windows. Ia memisahkan dirinya dengan memanfaatkan yang disebut โBug Printerโ, sarana untuk memanipulasi Pengontrol Domain Direktori Aktif (AD) untuk menyambung kembali ke sistem yang dikonfigurasi dengan โdelegasi tidak dibatasi.โ Delegasi tanpa batasan adalah konfigurasi AD yang sangat permisif yang membuka pintu bagi peniruan identitas dalam sistem.
Peretas di belakang CherryLoader menggunakan alat ini untuk mendapatkan akses tingkat tinggi dalam sistem yang ditargetkan, dan pada saat itulah mereka menghapus user.bat, skrip file batch yang melakukan serangkaian fungsi persistensi dan anti-analisis. Antara lain, ini membuat akun admin di sistem, memasukkan ke daftar putih dan mengecualikan file yang dapat dieksekusi di Windows Defender dan Microsoft Defender, menonaktifkan AntiSpyware pembela Microsoft, dan mengubah aturan firewall untuk mengaktifkan koneksi jarak jauh.
Arctic Wolf menolak berkomentar mengenai hasil intrusi apa pun dalam kampanye ini.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint-security/cherryloader-downloader-serious-privilege-execution
