Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Huntress a documenté une intrusion en direct dans laquelle les attaquants ont utilisé des outils d’escalade de privilèges disponibles publiquement connus sous le nom de BlueHammer, RedSun et UnDefend. L’opération a commencé avec des identifiants SSL VPN FortiGate compromis, ce qui a donné aux intrus l’accès à l’environnement et leur a permis de mettre en scène des binaires malveillants dans des dossiers modifiables par l’utilisateur. Une fois à l’intérieur, ils ont exécuté des commandes de reconnaissance et déployé un utilitaire de tunneling personnalisé basé sur Go appelé BeigeBurrow. Ce cas met en évidence la rapidité avec laquelle les outils d’exploitation proof-of-concept peuvent passer de la diffusion publique à une activité d’intrusion active.
Enquête
L’enquête a retracé l’activité malveillante à des sessions SSL VPN FortiGate compromises provenant d’adresses IP en Russie, à Singapour et en Suisse. Les analystes ont trouvé des binaires, notamment FunnyApp.exe, RedSun.exe, undef.exe, et un agent de tunneling basé sur Go nommé agent.exe stocké dans les Images and Téléchargements répertoires. Les attaquants ont également exécuté des commandes en direct telles que whoami /priv, cmdkey /list, et net group pour énumérer les privilèges et les identifiants. L’agent de tunneling a établi un tunnel inverse yamux sur staybud.dpdns.org sur le port 443 pour maintenir l’accès à distance.
Atténuation
Les défenseurs devraient surveiller l’exécution à partir de chemins inhabituels accessibles en écriture par l’utilisateur, détecter les noms de binaires connus et enquêter sur les alertes Microsoft Defender telles que Exploit:Win32/DfndrPEBluHmr.BZ et les détections liées à EICAR. Les journaux VPN devraient être passés en revue pour détecter les connexions suspectes provenant de géographies largement séparées, et toutes les sources IP non fiables devraient être bloquées. Les équipes de sécurité devraient également déployer des détections sur les points de terminaison pour les activités BlueHammer, RedSun et UnDefend et prioriser la remédiation pour CVE-2026-33825.
Réponse
Si cette activité est détectée, isolez immédiatement le point de terminaison affecté, terminez l’agent de tunneling et supprimez tous les binaires mis en scène de l’hôte. Réinitialisez les identifiants VPN compromis et appliquez une authentification multi-facteurs pour l’accès à distance. Les intervenants en cas d’incident devraient également effectuer un examen complet pour l’extraction d’identifiants, appliquer le correctif de Microsoft pour CVE-2026-33825, et rechercher dans l’environnement toute trace restante des outils d’escalade de privilèges.
"graph TB %% Class definitions classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1078 Comptes Valides</b><br/>Des identifiants SSL VPN FortiGate compromis fournissent un accès réseau légitime."] class action_initial_access action action_execution["<b>Action</b> – Exécution à partir de chemins modifiables par l’utilisateur<br/>Les binaires placés dans Images et Téléchargements sont exécutés."] class action_execution action action_priv_esc_exploit["<b>Action</b> – <b>T1068 Exploitation pour l’Escalade de Privilège</b><br/>BlueHammer exploite une vulnérabilité TOCTOU dans Windows Defender pour obtenir un handle vers la base de données SAM et s’élever à SYSTÈME."] class action_priv_esc_exploit action action_priv_esc_abuse["<b>Action</b> – <b>T1548 Abus du Mécanisme d’Élévation de Privilèges</b><br/>RedSun exploite une condition de concurrence dans le flux de remédiation cloud de Defender pour écrire un exécutable malveillant dans C:WindowsSystem32 et obtenir les privilèges SYSTÈME."] class action_priv_esc_abuse action action_credential_dump["<b>Action</b> – <b>T1003 Dumping d’Identifiants OS</b><br/>BlueHammer lit le hive SAM à partir d’une copie d’ombre de volume pour extraire les hashes de mots de passe NTLM."] class action_credential_dump action action_pass_the_hash["<b>Action</b> – <b>T1550.002 Pass the Hash</b><br/>Les hashes extraits sont destinés au mouvement latéral utilisant Pass-the-Hash (n’a pas été observé comme réussi)."] class action_pass_the_hash action action_defense_evasion["<b>Action</b> – <b>T1211 Exploitation pour l’Évasion de Détection</b><br/>UnDefend verrouille les fichiers de définition de Defender et empêche les redémarrages de service, désactivant temporairement l’antivirus."] class action_defense_evasion action action_c2["<b>Action</b> – <b>T1071.001 Protocoles Web</b><br/>L’agent BeigeBurrow crée un tunnel HSHTTPS persistant en utilisant la bibliothèque de multiplexage yamux."] class action_c2 action %% Nodes u2013 Malware / Tools malware_funnyapp["<b>Malware</b> – <b>Nom</b>: FunnyApp.exe<br/><b>Emplacement</b>: UserPictures"] class malware_funnyapp malware malware_redsun["<b>Malware</b> – <b>Nom</b>: RedSun.exe<br/><b>Emplacement</b>: UserDownloads"] class malware_redsun malware malware_undef["<b>Malware</b> – <b>Nom</b>: undef.exe<br/><b>Emplacement</b>: UserDownloads"] class malware_undef malware malware_z["<b>Malware</b> – <b>Nom</b>: z.exe<br/><b>Emplacement</b>: UserDownloads"] class malware_z malware malware_beigeburrow["<b>Malware</b> – <b>Nom</b>: agent BeigeBurrow (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["<b>Outil</b> – <b>Nom</b>: BlueHammer<br/><b>Description</b>: Exploite le TOCTOU de Defender pour capturer le handle SAM et vider les identifiants."] class tool_bluehammer builtin tool_redsun["<b>Outil</b> – <b>Nom</b>: RedSun<br/><b>Description</b>: Écrit un exécutable malveillant dans C:WindowsSystem32 via une condition de course de Defender."] class tool_redsun builtin tool_undefend["<b>Outil</b> – <b>Nom</b>: UnDefend<br/><b>Description</b>: Verrouille les fichiers de définition de l’antivirus et empêche les redémarrages du service Defender."] class tool_undefend builtin %% Connexions u2013 Flux d’attaque action_initial_access –>|mène à| action_execution action_execution –>|exécute| malware_funnyapp action_execution –>|exécute| malware_redsun action_execution –>|exécute| malware_undef action_execution –>|exécute| malware_z malware_redsun –>|utilise| tool_redsun malware_funnyapp –>|dépose| tool_bluehammer action_priv_esc_exploit –>|utilise| tool_bluehammer action_priv_esc_exploit –>|mène à| action_priv_esc_abuse action_priv_esc_abuse –>|utilise| tool_redsun action_priv_esc_abuse –>|permet| action_credential_dump action_credential_dump –>|produit| action_pass_the_hash action_defense_evasion –>|utilise| tool_undefend action_c2 –>|établi par| malware_beigeburrow "
Flux d’attaque
Détections
Énumération ou manipulation possible de comptes ou groupes (via la ligne de commande)
Voir
Nom de fichier court (via la ligne de commande)
Voir
Un service DNS dynamique a été contacté (via dns)
Voir
IOCs (HashSha256) pour détecter : L’outil Nightmare-Eclipse passe du PoC public à l’intrusion réelle
Voir
IOCs (SourceIP) pour détecter : L’outil Nightmare-Eclipse passe du PoC public à l’intrusion réelle
Voir
IOCs (DestinationIP) pour détecter : L’outil Nightmare-Eclipse passe du PoC public à l’intrusion réelle
Voir
Détection de l’accès non autorisé via des IP sources SSL VPN suspectes [Journaux VPN]
Voir
Détection de l’activité de tunneling BeigeBurrow [Connexion réseau Windows]
Voir
Détection de commandes de reconnaissance en direct [Création de processus Windows]
Voir
Exécution de simulation
Préalable : La vérification préliminaire Telémétrie & Baseline doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif et Commandes de l’Attaque :
Un adversaire qui a obtenu une tête de pont sur un hôte Windows souhaite confirmer le niveau de privilège du compte compromis et énumérer les identifiants stockés et les groupes de domaine pour un déplacement latéral. Pour rester sous le radar, l’attaquant utilise des binaires Windows natifs (whoami,cmdkey,net) exécutés directement depuis une invite PowerShell, évitant tout outil tiers qui générerait des alertes supplémentaires. Chaque commande crée un processus, produisant un enregistrement Event ID 4688 avec la ligne de commande exacte que la règle Sigma surveille. -
Script de Test de Régression :
# ----------------------------------------------------------------- # Simulez la reconnaissance en direct pour déclencher la règle Sigma # ----------------------------------------------------------------- # 1. Afficher les privilèges de jeton actuels whoami /priv # 2. Lister les identifiants Windows enregistrés cmdkey /list # 3. Énumérer les groupes de domaine (nécessite un contexte de domaine) net group # Pause pour permettre l'ingestion SIEM Start-Sleep -Seconds 10 -
Commandes de Nettoyage :
# Supprimer tous les artefacts temporaires (aucun créé) # Effacer l'historique des commandes PowerShell pour la furtivité (optionnel) Clear-History