SOC Prime Bias: クリティカル

04 Jul 2026 07:08 UTC

ディフェンスインペアメントオリンピックの追跡

Author Photo
SOC Prime Team linkedin icon フォローする
ディフェンスインペアメントオリンピックの追跡
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

脅威アクターがAdobe ColdFusionの脆弱性を悪用して、外部公開のWebサーバーにステガノグラフィックウェブシェルを展開しました。初期アクセスを得た後、攻撃者はMicrosoft Defenderの無効化、セキュリティログサービスの終了、およびレジストリ設定の変更を含む積極的な防御妨害活動を行いました。最終的に、この作戦はホスト保護を弱めた後、Mimikatzを用いた資格情報ダンプに焦点を当てているようでした。

調査

調査は、アナリストが whoami のような偵察コマンドをIISワーカープロセスから発見したことから始まりました。 w3wp.exe。さらに分析すると、画像ファイルに隠されているステガノグラフィックウェブシェルと、 i.bat という名のバッチスクリプトがセキュリティ制御のシャットダウンを自動化していることが明らかになりました。追加のフォレンジックレビューにより、資格情報の窃取をサポートし、視認性を低下させるために時刻改ざんやレジストリの改ざんが行われたことが判明しました。

緩和策

組織は、特にAdobe ColdFusionのようなインターネットに接続されたプラットフォームが知られている脆弱性に対して完全にパッチされていることを確認するべきです。また、ローカルホストから容易に変更できない耐障害性のある集中ログの展開も重要です。さらに、レジストリベースのセキュリティ設定を強化し、セキュリティプロバイダー設定の不正な変更を監視することで、防御妨害活動を妨害することができるでしょう。

対応

この活動が検出された場合、セキュリティチームは、さらなる移動やデータ損失を防ぐために、影響を受けたWebサーバーを即座に隔離すべきです。侵入中に露出またはキャッシュされた可能性のあるすべての資格情報は取り消し、回転させるべきです。その後、完全なフォレンジック調査を実施して、ステガノグラフィックアーティファクトや不正なスケジュールタスクやWMIイベント消費者を特定し、削除するべきです。

攻撃フロー

検出項目

不審なWMIイベント消費者の作成 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

レジストリ悪用による可能性のあるアクセシビリティ機能 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

システム列挙の可能性 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

不審なAppCmd活動 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

WDigestレジストリキー悪用の可能性 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

データベース資格情報窃取の可能性 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

アカウントまたはグループの列挙/操作の可能性 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

不審なTaskkill実行 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

Windows Defenderの設定における不審な変更 (PowerShell経由)

SOC Primeチーム
2026年7月3日

不審なIISログの無効化 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

システムレジストリへの問い合わせによる発見の可能性 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

不審なMicrosoft IISサーバーの動作 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

短縮スクリプト名の使用による実行の可能性 (コマンドライン経由)

SOC Primeチーム
2026年7月3日

PowerShellを通じたWindows Defenderの保護無効化の検出 [Windows PowerShell]

SOC Prime AIルール
2026年7月3日

ColdFusion脆弱パス経由のCVE-2023-29298のエクスプロイト検出 [Webサーバー]

SOC Prime AIルール
2026年7月3日

シミュレーション実行

前提条件:テレメトリおよびベースライン事前確認が完了していること。

理由:このセクションでは、検出ルールをトリガーするように設計された敵対手法(TTP)の正確な実行を詳細に説明します。コマンドとストーリーはTTPsに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を引き起こします。

  • 攻撃のストーリー&コマンド: 敵はワークステーションでローカル管理者アクセスを成功裏に獲得しました。資格情報ハーベスター(Mimikatzなど)の展開をアラートをトリガーせずに容易にするため、攻撃者はWindows Defenderのリアルタイムスキャンを無効にすることを選択します。彼らはフットプリントを最小化するため、特に Set-MpPreference cmdlet を使用してリアルタイム監視とスクリプトスキャンを無効化する一行のPowerShellコマンドを選択します。このアクションは、エンドポイントに “ブラインドスポット” を作成することを意図しています。

  • 回帰テストスクリプト:

    # シミュレーションスクリプト: "selection_command" ロジックをトリガーする
    # 注意: Defenderの設定を変更するにはこのスクリプトを管理者として実行する必要があります。
    # これは正確な文字列マッチで検出ルールをトリガーするように設計されています。
    
    Write-Host "[+] シミュレーション開始: Windows Defenderの保護を無効化中..." -ForegroundColor Cyan
    
    # 'Set-MpPreference -DisableRealtimeMonitoring $true' をトリガー
    Write-Host "[+] 実行中: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # 'Set-MpPreference -DisableScriptScanning $true' をトリガー
    Write-Host "[+] 実行中: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # 'Set-MpPreference -SubmitSamplesConsent NeverSend' をトリガー
    Write-Host "[+] 実行中: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # 'selection_file' ロジックをトリガーするダミーファイルを作成して実行
    Write-Host "[+] 実行中: DisableDefender.ps1を作成して実行中"
    "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] シミュレーションコマンド完了。" -ForegroundColor Green
  • クリーンアップコマンド:

    # クリーンスクリプト: 保護を再有効化し、アーティファクトを削除
    Write-Host "[!] クリーンアップ開始..." -ForegroundColor Yellow
    
    # 保護を再有効化
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-MpPreference -SubmitSamplesConsent AutoLimit
    
    # ダミースクリプトを削除
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] ダミースクリプト削除完了。"
    }
    
    Write-Host "[+] クリーンアップ完了。システムをベースラインに戻しました。" -ForegroundColor Green