IOC Sigma : Création de Dossiers Factices

[post-views]
août 04, 2020 · 2 min de lecture
IOC Sigma : Création de Dossiers Factices

Aujourd’hui, nous voulons attirer l’attention sur la règle Sigma de la communauté IOC soumise par Ariel Millahuel pour détecter la création de répertoires simulés pouvant être utilisés pour contourner le Contrôle de compte d’utilisateur (UAC) : https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

Un dossier simulé est une imitation spécifique d’un dossier Windows avec un espace à la fin de son nom, et le chercheur en sécurité a décrit la manière d’abuser de tels répertoires. Il a utilisé PowerShell pour créer des répertoires simulés qui ont une restriction : un répertoire simulé doit inclure un sous-répertoire sinon ils ne peuvent pas être créés. Les répertoires simulés ne peuvent également pas être créés via l’Explorateur Windows simplement en créant un nouveau dossier. Il existe plusieurs façons de créer de tels dossiers sous Windows 10, mais CMD et PowerShell sont les plus faciles à utiliser dans ce cas. 

Pour le détournement de DLL et le contournement de l’UAC, les attaquants peuvent créer un dossier simulé « C:Windows System32 », copier l’exécutable Windows d’origine de « C:WindowsSystem32 » vers le répertoire astucieux avec le fichier DLL malveillant, puis exécuter l’exécutable depuis ce répertoire. De la même manière, les attaquants peuvent contourner les Politiques de restriction logicielle.

 

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Exécution

Techniques : Interface de ligne de commande (T1059)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes