SOC Prime Bias: Kritisch

04 Jul 2026 07:08 UTC

Verfolgung der Verteidigungsbeeinträchtigung bei den Olympischen Spielen

Author Photo
SOC Prime Team linkedin icon Folgen
Verfolgung der Verteidigungsbeeinträchtigung bei den Olympischen Spielen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein Bedrohungsakteur nutzte Schwachstellen in Adobe ColdFusion aus, um steganografische Webshells auf einem öffentlich zugänglichen Webserver zu installieren. Nach dem Erlangen des anfänglichen Zugriffs führte der Angreifer aggressives Abwehrschwächungsaktivität durch, einschließlich der Deaktivierung von Microsoft Defender, der Beendigung von Sicherheitsprotokollierungsdiensten und der Modifizierung von Registrierungseinstellungen. Die Operation schien letztendlich darauf abzuzielen, Anmeldedaten mit Mimikatz abzugreifen, nachdem der Schutz des Hosts geschwächt wurde.

Untersuchung

Die Untersuchung begann, als Analysten Erkennungskommandos wie whoami die vom IIS-Worker-Prozess aus gestartet wurden, w3wp.exe. Weitere Analysen deckten steganografische Webshells auf, die in Bilddateien versteckt waren, sowie ein Batch-Skript namens i.bat , das die Abschaltung von Sicherheitskontrollen automatisierte. Eine zusätzliche forensische Überprüfung enthüllte Timestomping und Registrierungseingriffe, die zur Unterstützung von Anmeldedatendiebstahl und der Reduzierung der Sichtbarkeit eingesetzt wurden.

Minderung

Organisationen sollten sicherstellen, dass alle Software, insbesondere internetorientierte Plattformen wie Adobe ColdFusion, gegen bekannte Schwachstellen vollständig gepatcht ist. Die Implementierung eines widerstandsfähigen zentralisierten Protokollierungssystems, das nicht leicht vom lokalen Host geändert werden kann, ist ebenfalls entscheidend. Darüber hinaus kann das Härten von registrierungsgestützten Sicherheitseinstellungen und das Überwachen auf nicht autorisierte Änderungen an Sicherheitsprovider-Konfigurationen dazu beitragen, Abwehrschwächungsaktivitäten zu stören.

Antwort

Wenn diese Aktivität erkannt wird, sollten Sicherheitsteams den betroffenen Webserver sofort isolieren, um eine weitere Bewegung oder Datenverlust zu verhindern. Alle Anmeldedaten, die während des Eindringens möglicherweise offengelegt oder zwischengespeichert wurden, sollten widerrufen und ausgetauscht werden. Danach sollte eine vollständige forensische Untersuchung durchgeführt werden, um steganografische Artefakte sowie nicht autorisierte geplante Aufgaben oder WMI-Ereigniskonsumenten zu identifizieren und zu entfernen.

Angriffsverlauf

Erkennungen

Verdächtige Erstellung von WMI-Ereigniskonsumenten (über cmdline)

SOC Prime Team
03. Jul 2026

Mögliche Barrierefreiheitsfunktionen durch Registry-Missbrauch (über cmdline)

SOC Prime Team
03. Jul 2026

Mögliche Systemaufzählung (über cmdline)

SOC Prime Team
03. Jul 2026

Verdächtige AppCmd-Aktivität (über cmdline)

SOC Prime Team
03. Jul 2026

Möglicher Missbrauch des WDigest-Registrierungsschlüssels (über cmdline)

SOC Prime Team
03. Jul 2026

Möglicher Datenbank-Anmeldedaten-Diebstahl (über cmdline)

SOC Prime Team
03. Jul 2026

Mögliche Konto- oder Gruppierungsauflistung / Manipulation (über cmdline)

SOC Prime Team
03. Jul 2026

Verdächtige Taskkill-Ausführung (über cmdline)

SOC Prime Team
03. Jul 2026

Verdächtige Änderungen an Windows Defender-Einstellungen (über PowerShell)

SOC Prime Team
03. Jul 2026

Verdächtiges Deaktivieren der IIS-Protokollierung (über cmdline)

SOC Prime Team
03. Jul 2026

Mögliche Entdeckung durch Abfragen der Systemregistrierung (über cmdline)

SOC Prime Team
03. Jul 2026

Verdächtiges Verhalten des Microsoft IIS Servers (über cmdline)

SOC Prime Team
03. Jul 2026

Mögliche Ausführung durch Verwendung eines kurzen Skriptnamens (über cmdline)

SOC Prime Team
03. Jul 2026

Erkennung der Deaktivierung von Windows Defender-Schutzmaßnahmen über PowerShell [Windows Powershell]

SOC Prime AI Regeln
03. Jul 2026

Exploiterkennung für CVE-2023-29298 über ColdFusion verwundbare Pfade [Webserver]

SOC Prime AI Regeln
03. Jul 2026

Simulationsausführung

Voraussetzung: Der Telemetry & Baseline Pre-flight Check muss bestanden sein.

Begründung: Dieser Abschnitt erläutert die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffsnarrative & Befehle: Ein Angreifer hat erfolgreich lokalen Administratorzugriff auf einem Arbeitsplatzrechner erlangt. Um die Bereitstellung eines Anmeldeinformationssammlers (z. B. Mimikatz) zu ermöglichen, ohne einen Alarm auszulösen, beschließt der Angreifer, die Echtzeitüberwachung von Windows Defender zu deaktivieren. Sie wählen einen einzeiligen PowerShell-Befehl, um ihren Fußabdruck zu minimieren, indem sie speziell den Set-MpPreference Cmdlet verwenden, um die Echtzeitüberwachung und Skriptüberwachung zu deaktivieren. Diese Aktion soll einen „blinden Fleck“ am Endpunkt schaffen.

  • Regressionstest-Skript:

    # Simulationsskript: Auslösen der 'selection_command'-Logik
    # HINWEIS: Dieses Skript muss als Administrator ausgeführt werden, um erfolgreich Einstellungen des Defenders zu ändern.
    # Es ist so konzipiert, dass die Erkennungsregel durch exakten Zeichenfolgenvergleich ausgelöst wird.
    
    Write-Host "[+] Start der Simulation: Deaktivieren der Windows Defender-Schutzmaßnahmen..." -ForegroundColor Cyan
    
    # Auslösen von „Set-MpPreference -DisableRealtimeMonitoring $true“
    Write-Host "[+] Ausführung: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # Auslösen von „Set-MpPreference -DisableScriptScanning $true“
    Write-Host "[+] Ausführung: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # Auslösen von „Set-MpPreference -SubmitSamplesConsent NeverSend“
    Write-Host "[+] Ausführung: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # Auslösen der ‚selection_file‘-Logik durch Erstellen und Ausführen einer Dummy-Datei
    Write-Host "[+] Ausführung: Erstellen und Ausführen DisableDefender.ps1"
    "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] Simulation Commands Completed." -ForegroundColor Green
  • Bereinigungskommandos:

    # Bereinigungsskript: Schutzmaßnahmen wieder aktivieren und Artefakte entfernen
    Write-Host "[!] Start der Bereinigung..." -ForegroundColor Yellow
    
    # Schutzmaßnahmen wieder aktivieren
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-MpPreference -SubmitSamplesConsent AutoLimit
    
    # Dummy-Skript entfernen
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] Dummy-Skript entfernt."
    }
    
    Write-Host "[+] Bereinigung abgeschlossen. System auf Ausgangszustand zurückgesetzt." -ForegroundColor Green