Rastreando las Olimpiadas del Deterioro de la Defensa
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un actor de amenaza explotó vulnerabilidades en Adobe ColdFusion para desplegar webshells esteganográficos en un servidor web expuesto al público. Después de obtener acceso inicial, el atacante llevó a cabo actividades agresivas de impedimento de defensas, incluyendo la desactivación de Microsoft Defender, el término de servicios de registro de seguridad y la modificación de configuraciones del registro. La operación finalmente parecía centrarse en el volcado de credenciales con Mimikatz después de debilitar las protecciones del host.
Investigación
La investigación comenzó cuando los analistas detectaron comandos de reconocimiento como whoami ejecutándose desde el proceso trabajador de IIS, w3wp.exe. Un análisis adicional descubrió webshells esteganográficos ocultos dentro de archivos de imagen y un script por lotes llamado i.bat que automatizaba el apagado de controles de seguridad. Una revisión forense adicional reveló timestomping y manipulación del registro utilizados para apoyar el robo de credenciales y reducir la visibilidad.
Mitigación
Las organizaciones deben asegurarse de que todo el software, especialmente las plataformas expuestas a Internet como Adobe ColdFusion, esté completamente parcheado contra vulnerabilidades conocidas. También es crítico desplegar un registro centralizado resiliente que no pueda ser fácilmente alterado desde el host local. Además, reforzar las configuraciones de seguridad basadas en el registro y monitorear cambios no autorizados en las configuraciones de proveedores de seguridad puede ayudar a interrumpir la actividad de impedimento de defensas.
Respuesta
Si se detecta esta actividad, los equipos de seguridad deben aislar inmediatamente el servidor web afectado para evitar un movimiento mayor o pérdida de datos. Todas las credenciales que hayan podido ser expuestas o almacenadas en caché durante la intrusión deben ser revocadas y rotadas. Luego se debe realizar un barrido forense completo para identificar y eliminar artefactos esteganográficos, así como cualquier tarea programada no autorizada o consumidores de eventos WMI.
Flujo de Ataque
Detecciones
Creación de Consumidor de Evento WMI Sospechosa (vía cmdline)
Ver
Posibles Funciones de Accesibilidad mediante Abuso del Registro (vía cmdline)
Ver
Posible Enumeración del Sistema (vía cmdline)
Ver
Actividad AppCmd Sospechosa (vía cmdline)
Ver
Posible Abuso de Clave de Registro WDigest (vía cmdline)
Ver
Posible Robo de Credenciales de Base de Datos (vía cmdline)
Ver
Posible Enumeración / Manipulación de Cuentas o Grupos (vía cmdline)
Ver
Ejecución de Taskkill Sospechosa (vía cmdline)
Ver
Cambios Sospechosos en las Preferencias de Windows Defender (vía powershell)
Ver
Deshabilitación Sospechosa de Registro de IIS (vía cmdline)
Ver
Posible Descubrimiento mediante Consulta del Registro del Sistema (vía cmdline)
Ver
Comportamiento Sospechoso del Servidor Microsoft IIS (vía cmdline)
Ver
Posible Ejecución mediante Uso de Nombre de Script Corto (vía cmdline)
Ver
Detectar Deshabilitación de Protecciones de Windows Defender vía PowerShell [Windows Powershell]
Ver
Detección de Explotación para CVE-2023-29298 a través de Rutas Vulnerables de ColdFusion [Servidor web]
Ver
Ejecución de Simulación
Requisito previo: El Verificación Pre-vuelo de Telemetría & Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque & Comandos: Un adversario ha obtenido exitosamente acceso de administrador local en una estación de trabajo. Para facilitar el despliegue de un recolector de credenciales (como Mimikatz) sin activar una alerta, el atacante decide deshabilitar el escaneo en tiempo real de Windows Defender. Optan por usar un comando PowerShell de una sola línea para minimizar su huella, específicamente apuntando al
cmdlet Set-MpPreferencepara deshabilitar el monitoreo en tiempo real y el escaneo de scripts. Esta acción está destinada a crear un «punto ciego» en el endpoint. -
Script de Prueba de Regresión:
# Script de Simulación: Activando la lógica 'comando_seleccion' # NOTA: Este script debe ejecutarse como Administrador para tener éxito en cambiar las configuraciones de Defender. # Está diseñado para activar la regla de detección mediante coincidencia exacta de cadena. Write-Host "[+] Iniciando Simulación: Deshabilitando Protecciones de Windows Defender..." -ForegroundColor Cyan # Activando 'Set-MpPreference -DisableRealtimeMonitoring $true' Write-Host "[+] Ejecutando: Set-MpPreference -DisableRealtimeMonitoring $true" Set-MpPreference -DisableRealtimeMonitoring $true # Activando 'Set-MpPreference -DisableScriptScanning $true' Write-Host "[+] Ejecutando: Set-MpPreference -DisableScriptScanning $true" Set-MpPreference -DisableScriptScanning $true # Activando 'Set-MpPreference -SubmitSamplesConsent NeverSend' Write-Host "[+] Ejecutando: Set-MpPreference -SubmitSamplesConsent NeverSend" Set-MpPreference -SubmitSamplesConsent NeverSend # Activando lógica 'selection_file' creando y ejecutando un archivo ficticio Write-Host "[+] Ejecutando: Creando y ejecutando DisableDefender.ps1" "Write-Host 'Simulando Evasión'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1" & "$env:TEMPDisableDefender.ps1" Write-Host "[+] Comandos de Simulación Completados." -ForegroundColor Green -
Comandos de Limpieza:
# Script de Limpieza: Rehabilitando protecciones y eliminando artefactos Write-Host "[!] Iniciando Limpieza..." -ForegroundColor Yellow # Rehabilitar protecciones Set-MpPreference -DisableRealtimeMonitoring $false Set-MpPreference -DisableScriptScanning $false Set-MpPreference -SubmitSamplesConsent AutoLimit # Eliminar el script ficticio if (Test-Path "$env:TEMPDisableDefender.ps1") { Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force Write-Host "[+] Script ficticio eliminado." } Write-Host "[+] Limpieza Completa. Sistema devuelto a la línea base." -ForegroundColor Green