Swarmer-Tool umgeht EDR durch eine heimliche Änderung der Windows-Registrierung für Beständigkeit

Zusammenfassung

Swarmer ist ein Windows-Persistenz-Tool mit niedrigen Benutzerrechten, das ein obligatorisches Benutzerprofil-Verzeichnis (NTUSER.MAN) erstellt und es über die Offline-Registry-API bearbeitet. Da es nicht auf herkömmliche Reg*-Windows-APIs angewiesen ist, kann es eine Persistenz über den Run-Schlüssel einfügen und gleichzeitig die Sichtbarkeit für EDR-Telemetrie, die auf standardmäßiges Registry-Schreibverhalten abgestimmt ist, reduzieren. Die Methode missbraucht die Handhabung obligatorischer Profile, um Start-Einträge über Anmeldungen hinweg zu speichern, ohne administrative Rechte. Swarmer ist entweder als eigenständiges ausführbares Programm oder als PowerShell-Modul verfügbar und kann in einer Weise verwendet werden, die Artefakte auf der Festplatte minimiert.

Untersuchung

Der Bericht skizziert den End-to-End-Ablauf von Swarmer: Er exportiert das aktuelle HKCU-Registry-Verzeichnis, verändert die exportierten Daten, um die Start-Persistenz einzuschließen, und rekonstruiert das Verzeichnis mit Offreg.dll-Routinen wie ORCreateHive und ORSetValue. Das neu aufgebaute Verzeichnis wird dann als NTUSER.MAN im Benutzerprofilpfad platziert, sodass es während der Anmeldung angewendet wird. Die Ausführung wird durch Befehlszeilenoptionen gesteuert, die den Ziel-Startwert und den Speicherort der Nutzdaten definieren. Die Autoren verifizierten die Technik auf Windows 10 und Windows 11.

Minderung

Überwachen Sie die Erstellung von NTUSER.MAN in Benutzerkontexten, in denen keine obligatorischen Profile erwartet werden, und alarmieren Sie, wenn Offreg.dll von ungewöhnlichen Prozessen geladen wird. Schützen und überprüfen Sie die Integrität der Verzeichnisse, die für obligatorische Profile verwendet werden, und erstellen Sie eine Basislinie für legitime Offline-Registry-Operationen, sodass Abweichungen auffallen. Fügen Sie Erkennungen für verdächtige Verzeichnisänderungen hinzu, die bei der Anmeldung und nicht zur Laufzeit wirksam werden. Beschränken Sie, wo möglich, die Fähigkeit der Benutzer, obligatorische Profil-Artefakte zu erstellen oder zu manipulieren.

Reaktion

Wenn erkannt, isolieren Sie den Endpunkt, erwerben Sie das NTUSER.MAN-Verzeichnis zur Analyse und enumerieren Sie alle injizierten Run-Schlüssel-Einträge. Entfernen Sie unautorisierte Startwerte und stellen Sie ein bekannt-gutes Benutzerverzeichnis wieder her, um die Persistenz zu beseitigen. Führen Sie eine umfassendere forensische Überprüfung durch, um sicherzustellen, dass keine sekundären Nutzdaten oder alternativen Persistenzpfade etabliert wurden, und suchen Sie im gesamten Bestand nach demselben Verzeichnisschreibmuster. Verstärken Sie die Kontrollen des geringsten Privilegs, um zu verhindern, dass Benutzer mit niedrigen Berechtigungen obligatorische Profile erstellen.

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und der Bericht MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

• Angriffserzählung & Befehle:
  Der Angreifer hat sich Zugang zu einem kompromittierten Host verschafft und möchte eine Persistenz etablieren, die das Benutzer-Logon überlebt, ohne die Standard-Registry-Verzeichnisse zu berühren (um EDR-Hooks zu umgehen). Unter Verwendung des Swarmer Tools führt der Angreifer:

  1. Er bestimmt das Verzeichnis des Zielbenutzerprofils (C:Usersvictim).
  2. Er erstellt eine bösartige Verzeichnisdatei (NTUSER.MAN) mit einem Run-Schlüssel, der bei der Anmeldung eine Hintertür-Nutzlast startet.
  3. Er schreibt die Datei direkt ins Opferprofil, unter Verwendung von Low-Level-Dateiein-/-ausgabe (die hochrangigen WinAPI-Aufrufe umgehend).
  4. Er ruft die Offline-Registry-API ORCreateHive auf, um das neu erstellte Verzeichnis in den Speicher zu laden, registriert den Run-Schlüssel und ruft schließlich ORSaveHive auf, um die Änderungen dauerhaft zu machen.

  Beide Aktionen generieren:

  • Sysmon EventID 11 – Dateierstellung endet mit NTUSER.MAN.
  • Sicherheits-Ereignis-ID 4688 – ein Prozess (swarmer.exe), dessen Befehlszeile enthält ORCreateHive (oder ein anderes OR*-Flag).

• Regression Testskript:

  #--------------------------------------------------------------
  # Swarmer-Stil-Registry-Persistenz-Simulation (PowerShell)
  #--------------------------------------------------------------
  # 1. Bestimmen Sie den Opferprofilpfad
  $victimProfile = "$env:SystemDriveUsersvictim"
  $ntUserManPath = Join-Path $victimProfile "NTUSER.MAN"
  
  # 2. Erstellen Sie eine minimale Verzeichnisdatei (binärer Platzhalter)
  #    Bei einem echten Angriff wäre dies ein gefertigtales Registry-Verzeichnis.
  $hiveBytes = [byte[]] (0..255) # Dummy-Daten
  [IO.File]::WriteAllBytes($ntUserManPath, $hiveBytes)
  
  # 3. Rufen Sie die Offline-Registry-API über ein Hilfsprogramm auf.
  #    Gehen Sie davon aus, dass swarmer_helper.exe ein kompilierter Binärcode ist, der
  #    die nativen Offline-Registry-Funktionen umschließt.
  $helper = "C:Toolsswarmer_helper.exe"
  $args = @(
      "ORCreateHive", "`"$ntUserManPath`""
      "ORSetValue", "HKLMSoftwareMicrosoftWindowsCurrentVersionRunmyBackdoor", "`"C:Malwarebackdoor.exe`""
      "ORSaveHive", "`"$ntUserManPath`""
  )
  & $helper $args
  #--------------------------------------------------------------

• Aufräumbefehle:

  # Entfernen Sie das bösartige Verzeichnis und laden Sie es bei Bedarf aus
  Remove-Item -Path "$env:SystemDriveUsersvictimNTUSER.MAN" -Force
  # Wenn der Helfer noch im Speicher befindliche Verzeichnisse zurückgelassen hat, erzwingen Sie das Entladen
  & "$env:ProgramFilesWindows Kits10binx64reg.exe" unload "HKUTempHive"