IOC Sigma: Creazione di Cartelle Mock

Oggi vogliamo prestare attenzione alla regola IOC Sigma della community presentata da Ariel Millahuel per rilevare la creazione di directory mock che possono essere utilizzate per bypassare il Controllo Account Utente (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

Una cartella mock è un’imitazione specifica di una cartella di Windows con uno spazio finale nel suo nome, e il ricercatore di sicurezza ha descritto il modo di utilizzare impropriamente tali directory. Ha usato Powershell per creare directory mock che presentano una restrizione: una directory mock deve includere una sottodirectory o non può essere creata. Le directory mock non possono nemmeno essere create tramite Esplora Risorse di Windows semplicemente creando una nuova cartella. Esistono molti modi per creare tali cartelle in Windows 10, ma CMD e Powershell sono i più facili da usare in questo caso. 

Per l’hijacking delle DLL e il bypass dell’UAC, gli attaccanti possono creare una cartella mock “C:Windows System32”, copiare il file eseguibile originale di Windows da “C:WindowsSystem32” nella cartella ingegnosa insieme al file DLL malevolo e quindi eseguire il file eseguibile da quella directory. Allo stesso modo, gli attaccanti possono bypassare le Politiche di Restrizione Software.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Interfaccia da riga di comando (T1059)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.