IOC Sigma: Erstellung von gefälschten Ordnern

Heute möchten wir der Community-IOC-Sigma-Regel, die von Ariel Millahuel eingereicht wurde, Beachtung schenken, um das Erstellen von Mock-Verzeichnissen zu erkennen, die zur Umgehung der Benutzerkontensteuerung (UAC) verwendet werden können: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

Ein Mock-Ordner ist eine spezifische Imitation eines Windows-Ordners mit einem Leerzeichen am Ende seines Namens, und der Sicherheitsforscher beschrieb den Weg, solche Verzeichnisse zu missbrauchen. Er nutzte Powershell, um Mock-Verzeichnisse zu erstellen, die mit einer Einschränkung kommen: Ein Mock-Verzeichnis muss ein Unterverzeichnis enthalten, oder sie können nicht erstellt werden. Mock-Verzeichnisse können auch nicht über den Windows Explorer durch einfaches Erstellen eines neuen Ordners erstellt werden. Es gibt mehrere Möglichkeiten, solche Ordner in Windows 10 zu erstellen, aber CMD und Powershell sind in diesem Fall am einfachsten zu nutzen. 

Für DLL-Hijacking und zur Umgehung der UAC können Angreifer einen Mock-Ordner „C:Windows System32“ erstellen, die originale Windows-Executable aus „C:WindowsSystem32“ in das raffinierte Verzeichnis zusammen mit der bösartigen DLL-Datei kopieren und dann die ausführbare Datei aus diesem Verzeichnis ausführen. Auf dieselbe Weise können Angreifer Software-Restriktionsrichtlinien umgehen.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung

Techniken: Befehlszeilenschnittstelle (T1059)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.