Стежити 
Резюме
Команда Persistent Security описує новий спосіб обходу виявлення техніки переносу облікових даних T1003.002 шляхом зловживання підписаною утилітою Windows esentutl.exe. Використовуючи прапорці, пов’язані з VSS, інструмент може копіювати SAM and вулика SYSTEM реєстру без спрацювання Microsoft Defender так само, як при більш загальних методах переносу.
Розслідування
Дослідники перевірили три традиційні підходи до переносу вуликів, включаючи reg save, створення тіньових копій за допомогою vssadmin і пряме копіювання файлів, і виявили, що Defender заблокував кожен з них. Потім вони використовували тестування варіантів з підтримкою ШІ для виявлення альтернативного шляху: esentutl.exe могли отримати доступ до вуликів та вилучити їх через вбудовану функціональність VSS, уникаючи існуючих виявлень Defender.
Захист
Рекомендовані заходи захисту включають обмеження esentutl.exe через AppLocker або WDAC, створення правил Sysmon для виявлення запусків esentutl які використовують /vss прапор, та моніторинг активності з тіньовими копіями, що ініціюються поза нормальної поведінки системи. Організації також повинні розгортати LAPS для локальних облікових записів адміністратора та відключати VSS, де це не є необхідним для роботи.
Відповідь
If esentutl.exe спостерігається запуск з /vss прапором та записом у файли, пов’язані з SAM or вулика SYSTEM, захисники повинні ізолювати вражений хост, зібрати дані пам’яті та реєстру, підтвердити, чи відбулося перенесення облікових даних, і застосувати рекомендовані політики для запобігання повторення.
graph TB %% Class Definitions classDef action fill:#99ccff classDef builtin fill:#cccccc classDef file fill:#ffdd99 %% Nodes action_esentutl_exec[“<b>Дія</b> – <b>T1218.002 Proxy-виконання системного бінарного файлу</b><br/>Запуск esentutl.exe з параметрами /y /vss для створення тіньової копії тому”] class action_esentutl_exec action tool_esentutl[“<b>Інструмент</b> – <b>Назва</b>: esentutl.exe<br/><b>Опис</b>: Внутрішня утиліта Windows для керування Extensible Storage Engine”] class tool_esentutl builtin action_copy_hives[“<b>Дія</b> – <b>T1003 Отримання облікових даних ОС</b><br/>Копіювання файлів SAM і SYSTEM із тіньової копії у доступне для запису місце”] class action_copy_hives action action_store_unsecured[“<b>Дія</b> – <b>T1552.001 Облікові дані у файлах</b><br/>Збереження витягнутих hive-файлів на диск для подальшого офлайн-аналізу”] class action_store_unsecured action file_sam[“<b>Файл</b> – sam_dump<br/><b>Вміст</b>: SAM hive з хешами паролів”] class file_sam file file_sys[“<b>Файл</b> – sys_dump<br/><b>Вміст</b>: SYSTEM hive із ключем завантаження системи”] class file_sys file %% Connections action_esentutl_exec –>|uses| tool_esentutl action_esentutl_exec –>|leads_to| action_copy_hives action_copy_hives –>|uses| tool_esentutl action_copy_hives –>|creates| file_sam action_copy_hives –>|creates| file_sys file_sam –>|used_by| action_store_unsecured file_sys –>|used_by| action_store_unsecured
Потік атаки
Виявлення
LOLBAS Esentutl (через командний рядок)
Переглянути
Підозріла активність VSSADMIN (через командний рядок)
Переглянути
Можливе перенесення SAM/SYSTEM/SECURITY (через командний рядок)
Переглянути
Підозріле копіювання SAM/SECURITY/NTDS.dit через тіньову копію (через командний рядок)
Переглянути
Виявлення виконання Esentutl з VSS для обходу вулика SAM [Windows Sysmon]
Переглянути
Обхід вилучення вулика SAM через Esentutl і тіньову копію WMI [Створення процесу Windows]
Переглянути
Виконання симуляції
Попередні умови: Перевірка телеметрії та базова перевірка перед запуском повинні були пройдені.
Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для спрацювання правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та націлені на генерацію точної телеметрії, яку очікує логіка виявлення.
-
Опис атаки та команди:
Зловмисник, який отримав точку опори на скомпроментованому хості Windows, хоче зібрати геші облікових даних, не спрацювання звичайних інструментів переносу облікових даних, що зазвичай контролюються. Атакувальник використовує вбудовануesentutl.exeбінарний файл з/vssперемикачем для створення тіньової копії тома системи та вилучення захищеного вулика SAM. Кроки:- Створіть тимчасову директорію для експорту знімка.
- Запустіть
esentutl.exeз/y(перезапис) та/vssпрапорцями, націлюючись на шлях до вулика SAM. - Скопіюйте експортований файл SAM до місця під контролем атакувальника.
- (Необов’язково) Видаліть тимчасовий файл знімка для зменшення судово-медичного відбитку.
Ця послідовність створює подію Sysmon ProcessCreate, де
Зображеннязакінчується наesentutl.exeandКоманднийРядокмістить рядок/vss, що відповідає правилу виявлення. -
Скрипт для регресійного тесту:
# ---------------------------------------------- # Імітація переносу SAM на основі VSS за допомогою esentutl # ---------------------------------------------- $tempDir = "$env:TEMPVSS_Export" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Шлях до вулика SAM (буде експортуватися тільки копія для читання) $samHive = "$env:SystemRootSystem32configSAM" $outputFile = Join-Path $tempDir "SAM_copy.edb" # Виконайте esentutl з VSS, щоб експортувати вулик SAM $esentPath = "$env:SystemRootSystem32esentutl.exe" $arguments = "/y /vss `"$samHive`" `"$outputFile`"" Write-Host "Запуск: $esentPath $arguments" & $esentPath $arguments # Перевірте, чи експорт вдалий if (Test-Path $outputFile) { Write-Host "Вулик SAM експортовано до $outputFile" } else { Write-Warning "Експорт не вдався або файл не створено." } # Очистити файл знімка (необов'язково, залежить від поведінки ОС) # Примітка: файли знімків VSS зазвичай видаляються автоматично після експорту. -
Команди для очищення:
# Видалити тимчасову директорію експорту та файли $tempDir = "$env:TEMPVSS_Export" if (Test-Path $tempDir) { Remove-Item -Recurse -Force -Path $tempDir Write-Host "Очистка завершена: $tempDir видалено." } else { Write-Host "Очищення не потрібне; директорію не знайдено." }