Verfolgung der Verteidigungsbeeinträchtigung bei den Olympischen Spielen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungsakteur nutzte Schwachstellen in Adobe ColdFusion aus, um steganografische Webshells auf einem öffentlich zugänglichen Webserver zu installieren. Nach dem Erlangen des anfänglichen Zugriffs führte der Angreifer aggressives Abwehrschwächungsaktivität durch, einschließlich der Deaktivierung von Microsoft Defender, der Beendigung von Sicherheitsprotokollierungsdiensten und der Modifizierung von Registrierungseinstellungen. Die Operation schien letztendlich darauf abzuzielen, Anmeldedaten mit Mimikatz abzugreifen, nachdem der Schutz des Hosts geschwächt wurde.
Untersuchung
Die Untersuchung begann, als Analysten Erkennungskommandos wie whoami die vom IIS-Worker-Prozess aus gestartet wurden, w3wp.exe. Weitere Analysen deckten steganografische Webshells auf, die in Bilddateien versteckt waren, sowie ein Batch-Skript namens i.bat , das die Abschaltung von Sicherheitskontrollen automatisierte. Eine zusätzliche forensische Überprüfung enthüllte Timestomping und Registrierungseingriffe, die zur Unterstützung von Anmeldedatendiebstahl und der Reduzierung der Sichtbarkeit eingesetzt wurden.
Minderung
Organisationen sollten sicherstellen, dass alle Software, insbesondere internetorientierte Plattformen wie Adobe ColdFusion, gegen bekannte Schwachstellen vollständig gepatcht ist. Die Implementierung eines widerstandsfähigen zentralisierten Protokollierungssystems, das nicht leicht vom lokalen Host geändert werden kann, ist ebenfalls entscheidend. Darüber hinaus kann das Härten von registrierungsgestützten Sicherheitseinstellungen und das Überwachen auf nicht autorisierte Änderungen an Sicherheitsprovider-Konfigurationen dazu beitragen, Abwehrschwächungsaktivitäten zu stören.
Antwort
Wenn diese Aktivität erkannt wird, sollten Sicherheitsteams den betroffenen Webserver sofort isolieren, um eine weitere Bewegung oder Datenverlust zu verhindern. Alle Anmeldedaten, die während des Eindringens möglicherweise offengelegt oder zwischengespeichert wurden, sollten widerrufen und ausgetauscht werden. Danach sollte eine vollständige forensische Untersuchung durchgeführt werden, um steganografische Artefakte sowie nicht autorisierte geplante Aufgaben oder WMI-Ereigniskonsumenten zu identifizieren und zu entfernen.
Angriffsverlauf
Erkennungen
Verdächtige Erstellung von WMI-Ereigniskonsumenten (über cmdline)
Anzeigen
Mögliche Barrierefreiheitsfunktionen durch Registry-Missbrauch (über cmdline)
Anzeigen
Mögliche Systemaufzählung (über cmdline)
Anzeigen
Verdächtige AppCmd-Aktivität (über cmdline)
Anzeigen
Möglicher Missbrauch des WDigest-Registrierungsschlüssels (über cmdline)
Anzeigen
Möglicher Datenbank-Anmeldedaten-Diebstahl (über cmdline)
Anzeigen
Mögliche Konto- oder Gruppierungsauflistung / Manipulation (über cmdline)
Anzeigen
Verdächtige Taskkill-Ausführung (über cmdline)
Anzeigen
Verdächtige Änderungen an Windows Defender-Einstellungen (über PowerShell)
Anzeigen
Verdächtiges Deaktivieren der IIS-Protokollierung (über cmdline)
Anzeigen
Mögliche Entdeckung durch Abfragen der Systemregistrierung (über cmdline)
Anzeigen
Verdächtiges Verhalten des Microsoft IIS Servers (über cmdline)
Anzeigen
Mögliche Ausführung durch Verwendung eines kurzen Skriptnamens (über cmdline)
Anzeigen
Erkennung der Deaktivierung von Windows Defender-Schutzmaßnahmen über PowerShell [Windows Powershell]
Anzeigen
Exploiterkennung für CVE-2023-29298 über ColdFusion verwundbare Pfade [Webserver]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetry & Baseline Pre-flight Check muss bestanden sein.
Begründung: Dieser Abschnitt erläutert die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsnarrative & Befehle: Ein Angreifer hat erfolgreich lokalen Administratorzugriff auf einem Arbeitsplatzrechner erlangt. Um die Bereitstellung eines Anmeldeinformationssammlers (z. B. Mimikatz) zu ermöglichen, ohne einen Alarm auszulösen, beschließt der Angreifer, die Echtzeitüberwachung von Windows Defender zu deaktivieren. Sie wählen einen einzeiligen PowerShell-Befehl, um ihren Fußabdruck zu minimieren, indem sie speziell den
Set-MpPreferenceCmdlet verwenden, um die Echtzeitüberwachung und Skriptüberwachung zu deaktivieren. Diese Aktion soll einen „blinden Fleck“ am Endpunkt schaffen. -
Regressionstest-Skript:
# Simulationsskript: Auslösen der 'selection_command'-Logik # HINWEIS: Dieses Skript muss als Administrator ausgeführt werden, um erfolgreich Einstellungen des Defenders zu ändern. # Es ist so konzipiert, dass die Erkennungsregel durch exakten Zeichenfolgenvergleich ausgelöst wird. Write-Host "[+] Start der Simulation: Deaktivieren der Windows Defender-Schutzmaßnahmen..." -ForegroundColor Cyan # Auslösen von „Set-MpPreference -DisableRealtimeMonitoring $true“ Write-Host "[+] Ausführung: Set-MpPreference -DisableRealtimeMonitoring $true" Set-MpPreference -DisableRealtimeMonitoring $true # Auslösen von „Set-MpPreference -DisableScriptScanning $true“ Write-Host "[+] Ausführung: Set-MpPreference -DisableScriptScanning $true" Set-MpPreference -DisableScriptScanning $true # Auslösen von „Set-MpPreference -SubmitSamplesConsent NeverSend“ Write-Host "[+] Ausführung: Set-MpPreference -SubmitSamplesConsent NeverSend" Set-MpPreference -SubmitSamplesConsent NeverSend # Auslösen der ‚selection_file‘-Logik durch Erstellen und Ausführen einer Dummy-Datei Write-Host "[+] Ausführung: Erstellen und Ausführen DisableDefender.ps1" "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1" & "$env:TEMPDisableDefender.ps1" Write-Host "[+] Simulation Commands Completed." -ForegroundColor Green -
Bereinigungskommandos:
# Bereinigungsskript: Schutzmaßnahmen wieder aktivieren und Artefakte entfernen Write-Host "[!] Start der Bereinigung..." -ForegroundColor Yellow # Schutzmaßnahmen wieder aktivieren Set-MpPreference -DisableRealtimeMonitoring $false Set-MpPreference -DisableScriptScanning $false Set-MpPreference -SubmitSamplesConsent AutoLimit # Dummy-Skript entfernen if (Test-Path "$env:TEMPDisableDefender.ps1") { Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force Write-Host "[+] Dummy-Skript entfernt." } Write-Host "[+] Bereinigung abgeschlossen. System auf Ausgangszustand zurückgesetzt." -ForegroundColor Green