SOC Prime Bias: Critico

04 Jul 2026 07:08 UTC

Tracciare le Olimpiadi del Compromesso Difensivo

Author Photo
SOC Prime Team linkedin icon Segui
Tracciare le Olimpiadi del Compromesso Difensivo
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Un attore malevolo ha sfruttato vulnerabilità in Adobe ColdFusion per distribuire webshell steganografici su un server web esposto al pubblico. Dopo aver ottenuto l’accesso iniziale, l’attaccante ha eseguito attività aggressive di indebolimento delle difese, inclusa la disabilitazione di Microsoft Defender, la terminazione dei servizi di logging della sicurezza e la modifica delle impostazioni del registro. L’operazione sembrava infine focalizzata sul dump delle credenziali con Mimikatz dopo aver indebolito le protezioni dell’host.

Investigazione

L’investigazione è iniziata quando gli analisti hanno rilevato comandi di ricognizione come whoami lanciati dal processo IIS worker, w3wp.exe. Ulteriori analisi hanno rivelato webshell steganografici nascosti all’interno di file immagine e uno script batch chiamato i.bat che automatizzava la disattivazione dei controlli di sicurezza. Una revisione forense aggiuntiva ha rivelato timestomping e manomissioni del registro utilizzate per supportare il furto di credenziali e ridurre la visibilità.

Mitigazione

Le organizzazioni dovrebbero garantire che tutto il software, in particolare le piattaforme esposte a internet come Adobe ColdFusion, siano completamente aggiornate contro le vulnerabilità note. È inoltre fondamentale distribuire un logging centralizzato resiliente che non possa essere facilmente modificato dall’host locale. Inoltre, rafforzare le impostazioni di sicurezza basate sul registro e monitorare le modifiche non autorizzate alle configurazioni dei provider di sicurezza può aiutare a interrompere le attività di indebolimento delle difese.

Risposta

Se questa attività viene rilevata, i team di sicurezza dovrebbero isolare immediatamente il server web colpito per prevenire ulteriori movimenti o perdite di dati. Tutte le credenziali che potrebbero essere state esposte o memorizzate nella cache durante l’intrusione devono essere revocate e ruotate. Una verifica forense completa dovrebbe quindi essere eseguita per identificare e rimuovere gli artefatti steganografici e qualsiasi attività pianificata non autorizzata o consumatori di eventi WMI.

Flusso di Attacco

Rilevamenti

Creazione sospetta di un WMI Event Consumer (via cmdline)

Team SOC Prime
03 Lug 2026

Possibili funzionalità di accessibilità tramite abuso del Registro di sistema (via cmdline)

Team SOC Prime
03 Lug 2026

Possibile enumerazione del sistema (via cmdline)

Team SOC Prime
03 Lug 2026

Attività sospetta di AppCmd (via cmdline)

Team SOC Prime
03 Lug 2026

Possibile abuso della chiave di registro WDigest (via cmdline)

Team SOC Prime
03 Lug 2026

Possibile furto di credenziali del database (via cmdline)

Team SOC Prime
03 Lug 2026

Possibile enumerazione o manipolazione di account o gruppi (via cmdline)

Team SOC Prime
03 Lug 2026

Esecuzione sospetta di Taskkill (via cmdline)

Team SOC Prime
03 Lug 2026

Modifiche sospette alle preferenze di Windows Defender (via PowerShell)

Team SOC Prime
03 Lug 2026

Disattivazione sospetta dei log IIS (via cmdline)

Team SOC Prime
03 Lug 2026

Possibile scoperta tramite interrogazione del Registro di sistema (via cmdline)

Team SOC Prime
03 Lug 2026

Comportamento sospetto del server Microsoft IIS (via cmdline)

Team SOC Prime
03 Lug 2026

Possibile esecuzione mediante uso di un nome breve di script (via cmdline)

Team SOC Prime
03 Lug 2026

Rilevare la disabilitazione delle protezioni di Windows Defender tramite PowerShell [Windows Powershell]

Regole AI di SOC Prime
03 Lug 2026

Rilevamento di exploit per CVE-2023-29298 tramite percorsi vulnerabili di ColdFusion [Server web]

Regole AI di SOC Prime
03 Lug 2026

Esecuzione di simulazione

Prerequisito: Il check pre-flight di Telemetria e Baseline deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa devono riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica del rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa dell’attacco e comandi: Un avversario ha ottenuto con successo l’accesso come amministratore locale su una workstation. Per facilitare il dispiegamento di un raccoglitore di credenziali (come Mimikatz) senza suscitare allarmi, l’attaccante decide di disabilitare la scansione in tempo reale di Windows Defender. Scelgono di usare un comando PowerShell in una sola riga per minimizzare la loro impronta, mirando specificamente al cmdlet Set-MpPreference per disabilitare il monitoraggio in tempo reale e la scansione degli script. Questa azione è intesa a creare un “punto cieco” sull’endpoint.

  • Script di test di regressione:

    # Script di simulazione: Attivazione della logica 'selection_command'
    # NOTA: Questo script deve essere eseguito come Amministratore per riuscire a cambiare le impostazioni di Defender.
    # È progettato per attivare la regola di rilevamento tramite corrispondenza esatta delle stringhe.
    
    Write-Host "[+] Inizio simulazione: disabilitazione delle protezioni di Windows Defender..." -ForegroundColor Cyan
    
    # Attivazione 'Set-MpPreference -DisableRealtimeMonitoring $true'
    Write-Host "[+] Esecuzione: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # Attivazione 'Set-MpPreference -DisableScriptScanning $true'
    Write-Host "[+] Esecuzione: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # Attivazione 'Set-MpPreference -SubmitSamplesConsent NeverSend'
    Write-Host "[+] Esecuzione: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # Attivazione della logica 'selection_file' tramite creazione ed esecuzione di un file dummy
    Write-Host "[+] Esecuzione: Creazione ed esecuzione di DisableDefender.ps1"
    "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] Comandi di Simulazione Completati." -ForegroundColor Green
  • Comandi di pulizia:

    # Script di pulizia: Rieabilitazione delle protezioni e rimozione degli artefatti
    Write-Host "[!] Inizio pulizia..." -ForegroundColor Yellow
    
    # Rieabilitazione delle protezioni
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-MpPreference -SubmitSamplesConsent AutoLimit
    
    # Rimuovere lo script dummy
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] Script dummy rimosso."
    }
    
    Write-Host "[+] Pulizia completata. Sistema ripristinato allo stato iniziale." -ForegroundColor Green