Suivi des Olympiades de l’Entrave Défensive
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un acteur de menace a exploité des vulnérabilités dans Adobe ColdFusion pour déployer des webshells stéganographiques sur un serveur web accessible au public. Après avoir obtenu un accès initial, l’attaquant a mené une activité agressive d’affaiblissement de la défense, y compris la désactivation de Microsoft Defender, la terminaison des services de journalisation de sécurité et la modification des paramètres du registre. L’opération semblait finalement axée sur le vidage d’informations d’identification avec Mimikatz après avoir affaibli les protections de l’hôte.
Enquête
L’enquête a commencé lorsque les analystes ont détecté des commandes de reconnaissance telles que whoami lancées à partir du processus de travailleur IIS, w3wp.exe. Une analyse plus approfondie a révélé des webshells stéganographiques cachés à l’intérieur de fichiers image et un script batch nommé i.bat qui automatisait la fermeture des contrôles de sécurité. Un examen judiciaire supplémentaire a révélé l’utilisation de la falsification d’horodatage et de la manipulation du registre pour soutenir le vol d’informations d’identification et réduire la visibilité.
Atténuation
Les organisations devraient s’assurer que tous les logiciels, en particulier les plateformes accessibles par internet telles que Adobe ColdFusion, sont entièrement corrigés contre les vulnérabilités connues. Le déploiement d’une journalisation centralisée résiliente qui ne peut pas être facilement modifiée depuis l’hôte local est également crucial. De plus, le renforcement des paramètres de sécurité basés sur le registre et la surveillance des changements non autorisés dans les configurations des fournisseurs de sécurité peuvent aider à perturber les activités d’affaiblissement de la défense.
Réponse
Si cette activité est détectée, les équipes de sécurité devraient isoler immédiatement le serveur web affecté pour prévenir tout mouvement ultérieur ou perte de données. Tous les identifiants qui pourraient avoir été exposés ou mis en cache pendant l’intrusion devraient être révoqués et renouvelés. Un balayage judiciaire complet devrait ensuite être effectué pour identifier et supprimer les artefacts stéganographiques, ainsi que toute tâche planifiée non autorisée ou tout consommateur d’événements WMI.
Flux d’attaque
Détections
Création suspecte de consommateur d’événements WMI (via cmdline)
Voir
Possibles fonctionnalités d’accessibilité via abus de registre (via cmdline)
Voir
Énumération possible du système (via cmdline)
Voir
Activité AppCmd suspecte (via cmdline)
Voir
Abus possible de la clé de registre WDigest (via cmdline)
Voir
Vol possible de données d’identification de base de données (via cmdline)
Voir
Énumération/manipulation de compte ou de groupe possible (via cmdline)
Voir
Exécution suspecte de Taskkill (via cmdline)
Voir
Modifications suspectes des préférences de Windows Defender (via powershell)
Voir
Désactivation suspecte de la journalisation IIS (via cmdline)
Voir
Découverte possible par requête du registre système (via cmdline)
Voir
Comportement suspect du serveur Microsoft IIS (via cmdline)
Voir
Exécution possible par l’utilisation d’un nom de script court (via cmdline)
Voir
Détecter la désactivation des protections de Windows Defender via PowerShell [Windows Powershell]
Voir
Détection d’exploitation pour CVE-2023-29298 via chemins vulnérables ColdFusion [Serveur web]
Voir
Exécution de simulation
Prérequis : Le contrôle pré-vol de télémétrie et de base doit avoir réussi.
Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Narratif & Commandes d’attaque : Un adversaire a réussi à obtenir un accès administrateur local sur un poste de travail. Pour faciliter le déploiement d’un outil de collecte d’informations d’identification (comme Mimikatz) sans déclencher d’alerte, l’attaquant décide de désactiver l’analyse en temps réel de Windows Defender. Il choisit d’utiliser une commande PowerShell en une seule ligne pour minimiser son empreinte, en ciblant spécifiquement la
cmdlet Set-MpPreferencepour désactiver la surveillance en temps réel et l’analyse des scripts. Cette action est destinée à créer un « angle mort » sur le point de terminaison. -
Script de test de régression :
# Script de simulation : Déclenchement de la logique 'selection_command' # REMARQUE : Ce script doit être exécuté en tant qu'administrateur pour réussir à modifier les paramètres de Defender. # Il est conçu pour déclencher la règle de détection via une correspondance exacte de chaîne. Write-Host "[+] Lancement de la simulation : Désactivation des protections Windows Defender..." -ForegroundColor Cyan # Déclenchement de 'Set-MpPreference -DisableRealtimeMonitoring $true' Write-Host "[+] Exécution : Set-MpPreference -DisableRealtimeMonitoring $true" Set-MpPreference -DisableRealtimeMonitoring $true # Déclenchement de 'Set-MpPreference -DisableScriptScanning $true' Write-Host "[+] Exécution : Set-MpPreference -DisableScriptScanning $true" Set-MpPreference -DisableScriptScanning $true # Déclenchement de 'Set-MpPreference -SubmitSamplesConsent NeverSend' Write-Host "[+] Exécution : Set-MpPreference -SubmitSamplesConsent NeverSend" Set-MpPreference -SubmitSamplesConsent NeverSend # Déclenchement de la logique 'selection_file' en créant et exécutant un fichier fictif Write-Host "[+] Exécution : Création et exécution de DisableDefender.ps1" "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1" & "$env:TEMPDisableDefender.ps1" Write-Host "[+] Commandes de simulation terminées." -ForegroundColor Green -
Commandes de nettoyage :
# Script de nettoyage : Réactivation des protections et suppression des artefacts Write-Host "[!] Début du nettoyage..." -ForegroundColor Yellow # Réactiver les protections Set-MpPreference -DisableRealtimeMonitoring $false Set-MpPreference -DisableScriptScanning $false Set-MpPreference -SubmitSamplesConsent AutoLimit # Supprimer le script fictif if (Test-Path "$env:TEMPDisableDefender.ps1") { Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force Write-Host "[+] Script fictif supprimé." } Write-Host "[+] Nettoyage terminé. Système revenu à la norme." -ForegroundColor Green