Tracciare le Olimpiadi del Compromesso Difensivo
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un attore malevolo ha sfruttato vulnerabilità in Adobe ColdFusion per distribuire webshell steganografici su un server web esposto al pubblico. Dopo aver ottenuto l’accesso iniziale, l’attaccante ha eseguito attività aggressive di indebolimento delle difese, inclusa la disabilitazione di Microsoft Defender, la terminazione dei servizi di logging della sicurezza e la modifica delle impostazioni del registro. L’operazione sembrava infine focalizzata sul dump delle credenziali con Mimikatz dopo aver indebolito le protezioni dell’host.
Investigazione
L’investigazione è iniziata quando gli analisti hanno rilevato comandi di ricognizione come whoami lanciati dal processo IIS worker, w3wp.exe. Ulteriori analisi hanno rivelato webshell steganografici nascosti all’interno di file immagine e uno script batch chiamato i.bat che automatizzava la disattivazione dei controlli di sicurezza. Una revisione forense aggiuntiva ha rivelato timestomping e manomissioni del registro utilizzate per supportare il furto di credenziali e ridurre la visibilità.
Mitigazione
Le organizzazioni dovrebbero garantire che tutto il software, in particolare le piattaforme esposte a internet come Adobe ColdFusion, siano completamente aggiornate contro le vulnerabilità note. È inoltre fondamentale distribuire un logging centralizzato resiliente che non possa essere facilmente modificato dall’host locale. Inoltre, rafforzare le impostazioni di sicurezza basate sul registro e monitorare le modifiche non autorizzate alle configurazioni dei provider di sicurezza può aiutare a interrompere le attività di indebolimento delle difese.
Risposta
Se questa attività viene rilevata, i team di sicurezza dovrebbero isolare immediatamente il server web colpito per prevenire ulteriori movimenti o perdite di dati. Tutte le credenziali che potrebbero essere state esposte o memorizzate nella cache durante l’intrusione devono essere revocate e ruotate. Una verifica forense completa dovrebbe quindi essere eseguita per identificare e rimuovere gli artefatti steganografici e qualsiasi attività pianificata non autorizzata o consumatori di eventi WMI.
Flusso di Attacco
Rilevamenti
Creazione sospetta di un WMI Event Consumer (via cmdline)
Visualizza
Possibili funzionalità di accessibilità tramite abuso del Registro di sistema (via cmdline)
Visualizza
Possibile enumerazione del sistema (via cmdline)
Visualizza
Attività sospetta di AppCmd (via cmdline)
Visualizza
Possibile abuso della chiave di registro WDigest (via cmdline)
Visualizza
Possibile furto di credenziali del database (via cmdline)
Visualizza
Possibile enumerazione o manipolazione di account o gruppi (via cmdline)
Visualizza
Esecuzione sospetta di Taskkill (via cmdline)
Visualizza
Modifiche sospette alle preferenze di Windows Defender (via PowerShell)
Visualizza
Disattivazione sospetta dei log IIS (via cmdline)
Visualizza
Possibile scoperta tramite interrogazione del Registro di sistema (via cmdline)
Visualizza
Comportamento sospetto del server Microsoft IIS (via cmdline)
Visualizza
Possibile esecuzione mediante uso di un nome breve di script (via cmdline)
Visualizza
Rilevare la disabilitazione delle protezioni di Windows Defender tramite PowerShell [Windows Powershell]
Visualizza
Rilevamento di exploit per CVE-2023-29298 tramite percorsi vulnerabili di ColdFusion [Server web]
Visualizza
Esecuzione di simulazione
Prerequisito: Il check pre-flight di Telemetria e Baseline deve essere passato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa devono riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica del rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa dell’attacco e comandi: Un avversario ha ottenuto con successo l’accesso come amministratore locale su una workstation. Per facilitare il dispiegamento di un raccoglitore di credenziali (come Mimikatz) senza suscitare allarmi, l’attaccante decide di disabilitare la scansione in tempo reale di Windows Defender. Scelgono di usare un comando PowerShell in una sola riga per minimizzare la loro impronta, mirando specificamente al
cmdlet Set-MpPreferenceper disabilitare il monitoraggio in tempo reale e la scansione degli script. Questa azione è intesa a creare un “punto cieco” sull’endpoint. -
Script di test di regressione:
# Script di simulazione: Attivazione della logica 'selection_command' # NOTA: Questo script deve essere eseguito come Amministratore per riuscire a cambiare le impostazioni di Defender. # È progettato per attivare la regola di rilevamento tramite corrispondenza esatta delle stringhe. Write-Host "[+] Inizio simulazione: disabilitazione delle protezioni di Windows Defender..." -ForegroundColor Cyan # Attivazione 'Set-MpPreference -DisableRealtimeMonitoring $true' Write-Host "[+] Esecuzione: Set-MpPreference -DisableRealtimeMonitoring $true" Set-MpPreference -DisableRealtimeMonitoring $true # Attivazione 'Set-MpPreference -DisableScriptScanning $true' Write-Host "[+] Esecuzione: Set-MpPreference -DisableScriptScanning $true" Set-MpPreference -DisableScriptScanning $true # Attivazione 'Set-MpPreference -SubmitSamplesConsent NeverSend' Write-Host "[+] Esecuzione: Set-MpPreference -SubmitSamplesConsent NeverSend" Set-MpPreference -SubmitSamplesConsent NeverSend # Attivazione della logica 'selection_file' tramite creazione ed esecuzione di un file dummy Write-Host "[+] Esecuzione: Creazione ed esecuzione di DisableDefender.ps1" "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1" & "$env:TEMPDisableDefender.ps1" Write-Host "[+] Comandi di Simulazione Completati." -ForegroundColor Green -
Comandi di pulizia:
# Script di pulizia: Rieabilitazione delle protezioni e rimozione degli artefatti Write-Host "[!] Inizio pulizia..." -ForegroundColor Yellow # Rieabilitazione delle protezioni Set-MpPreference -DisableRealtimeMonitoring $false Set-MpPreference -DisableScriptScanning $false Set-MpPreference -SubmitSamplesConsent AutoLimit # Rimuovere lo script dummy if (Test-Path "$env:TEMPDisableDefender.ps1") { Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force Write-Host "[+] Script dummy rimosso." } Write-Host "[+] Pulizia completata. Sistema ripristinato allo stato iniziale." -ForegroundColor Green