IOC Sigma: Creación de Carpetas Simuladas

Hoy queremos prestar atención a la regla IOC Sigma de la comunidad enviada por Ariel Millahuel para detectar la creación de directorios simulados que pueden usarse para eludir el Control de Cuentas de Usuario (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

Un directorio simulado es una imitación específica de una carpeta de Windows con un espacio al final de su nombre, y el investigador de seguridad describió la manera de usar indebidamente dichos directorios. Usó Powershell para crear directorios simulados que tienen una restricción: un directorio simulado debe incluir un subdirectorio o no pueden ser creados. Los directorios simulados tampoco pueden ser creados mediante el Explorador de Windows simplemente creando una nueva carpeta. Hay múltiples formas de crear dichas carpetas en Windows 10, pero CMD y Powershell son los más fáciles de usar en este caso. 

Para el secuestro de DLL y eludir el UAC, los atacantes pueden crear un directorio simulado «C:Windows System32», copiar el ejecutable original de Windows de «C:WindowsSystem32» al directorio falso junto con el archivo DLL malicioso y luego ejecutar el ejecutable desde ese directorio. De la misma manera, los atacantes pueden eludir las Políticas de Restricción de Software.

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.