IOC Sigma : Création de Dossiers Factices

Aujourd’hui, nous voulons attirer l’attention sur la règle Sigma de la communauté IOC soumise par Ariel Millahuel pour détecter la création de répertoires simulés pouvant être utilisés pour contourner le Contrôle de compte d’utilisateur (UAC) : https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

Un dossier simulé est une imitation spécifique d’un dossier Windows avec un espace à la fin de son nom, et le chercheur en sécurité a décrit la manière d’abuser de tels répertoires. Il a utilisé PowerShell pour créer des répertoires simulés qui ont une restriction : un répertoire simulé doit inclure un sous-répertoire sinon ils ne peuvent pas être créés. Les répertoires simulés ne peuvent également pas être créés via l’Explorateur Windows simplement en créant un nouveau dossier. Il existe plusieurs façons de créer de tels dossiers sous Windows 10, mais CMD et PowerShell sont les plus faciles à utiliser dans ce cas. 

Pour le détournement de DLL et le contournement de l’UAC, les attaquants peuvent créer un dossier simulé « C:Windows System32 », copier l’exécutable Windows d’origine de « C:WindowsSystem32 » vers le répertoire astucieux avec le fichier DLL malveillant, puis exécuter l’exécutable depuis ce répertoire. De la même manière, les attaquants peuvent contourner les Politiques de restriction logicielle.

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution

Techniques : Interface de ligne de commande (T1059)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.