ディフェンスインペアメントオリンピックの追跡
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターがAdobe ColdFusionの脆弱性を悪用して、外部公開のWebサーバーにステガノグラフィックウェブシェルを展開しました。初期アクセスを得た後、攻撃者はMicrosoft Defenderの無効化、セキュリティログサービスの終了、およびレジストリ設定の変更を含む積極的な防御妨害活動を行いました。最終的に、この作戦はホスト保護を弱めた後、Mimikatzを用いた資格情報ダンプに焦点を当てているようでした。
調査
調査は、アナリストが whoami のような偵察コマンドをIISワーカープロセスから発見したことから始まりました。 w3wp.exe。さらに分析すると、画像ファイルに隠されているステガノグラフィックウェブシェルと、 i.bat という名のバッチスクリプトがセキュリティ制御のシャットダウンを自動化していることが明らかになりました。追加のフォレンジックレビューにより、資格情報の窃取をサポートし、視認性を低下させるために時刻改ざんやレジストリの改ざんが行われたことが判明しました。
緩和策
組織は、特にAdobe ColdFusionのようなインターネットに接続されたプラットフォームが知られている脆弱性に対して完全にパッチされていることを確認するべきです。また、ローカルホストから容易に変更できない耐障害性のある集中ログの展開も重要です。さらに、レジストリベースのセキュリティ設定を強化し、セキュリティプロバイダー設定の不正な変更を監視することで、防御妨害活動を妨害することができるでしょう。
対応
この活動が検出された場合、セキュリティチームは、さらなる移動やデータ損失を防ぐために、影響を受けたWebサーバーを即座に隔離すべきです。侵入中に露出またはキャッシュされた可能性のあるすべての資格情報は取り消し、回転させるべきです。その後、完全なフォレンジック調査を実施して、ステガノグラフィックアーティファクトや不正なスケジュールタスクやWMIイベント消費者を特定し、削除するべきです。
攻撃フロー
検出項目
不審なWMIイベント消費者の作成 (コマンドライン経由)
表示
レジストリ悪用による可能性のあるアクセシビリティ機能 (コマンドライン経由)
表示
システム列挙の可能性 (コマンドライン経由)
表示
不審なAppCmd活動 (コマンドライン経由)
表示
WDigestレジストリキー悪用の可能性 (コマンドライン経由)
表示
データベース資格情報窃取の可能性 (コマンドライン経由)
表示
アカウントまたはグループの列挙/操作の可能性 (コマンドライン経由)
表示
不審なTaskkill実行 (コマンドライン経由)
表示
Windows Defenderの設定における不審な変更 (PowerShell経由)
表示
不審なIISログの無効化 (コマンドライン経由)
表示
システムレジストリへの問い合わせによる発見の可能性 (コマンドライン経由)
表示
不審なMicrosoft IISサーバーの動作 (コマンドライン経由)
表示
短縮スクリプト名の使用による実行の可能性 (コマンドライン経由)
表示
PowerShellを通じたWindows Defenderの保護無効化の検出 [Windows PowerShell]
表示
ColdFusion脆弱パス経由のCVE-2023-29298のエクスプロイト検出 [Webサーバー]
表示
シミュレーション実行
前提条件:テレメトリおよびベースライン事前確認が完了していること。
理由:このセクションでは、検出ルールをトリガーするように設計された敵対手法(TTP)の正確な実行を詳細に説明します。コマンドとストーリーはTTPsに直接反映され、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を引き起こします。
-
攻撃のストーリー&コマンド: 敵はワークステーションでローカル管理者アクセスを成功裏に獲得しました。資格情報ハーベスター(Mimikatzなど)の展開をアラートをトリガーせずに容易にするため、攻撃者はWindows Defenderのリアルタイムスキャンを無効にすることを選択します。彼らはフットプリントを最小化するため、特に
Set-MpPreferencecmdlet を使用してリアルタイム監視とスクリプトスキャンを無効化する一行のPowerShellコマンドを選択します。このアクションは、エンドポイントに “ブラインドスポット” を作成することを意図しています。 -
回帰テストスクリプト:
# シミュレーションスクリプト: "selection_command" ロジックをトリガーする # 注意: Defenderの設定を変更するにはこのスクリプトを管理者として実行する必要があります。 # これは正確な文字列マッチで検出ルールをトリガーするように設計されています。 Write-Host "[+] シミュレーション開始: Windows Defenderの保護を無効化中..." -ForegroundColor Cyan # 'Set-MpPreference -DisableRealtimeMonitoring $true' をトリガー Write-Host "[+] 実行中: Set-MpPreference -DisableRealtimeMonitoring $true" Set-MpPreference -DisableRealtimeMonitoring $true # 'Set-MpPreference -DisableScriptScanning $true' をトリガー Write-Host "[+] 実行中: Set-MpPreference -DisableScriptScanning $true" Set-MpPreference -DisableScriptScanning $true # 'Set-MpPreference -SubmitSamplesConsent NeverSend' をトリガー Write-Host "[+] 実行中: Set-MpPreference -SubmitSamplesConsent NeverSend" Set-MpPreference -SubmitSamplesConsent NeverSend # 'selection_file' ロジックをトリガーするダミーファイルを作成して実行 Write-Host "[+] 実行中: DisableDefender.ps1を作成して実行中" "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1" & "$env:TEMPDisableDefender.ps1" Write-Host "[+] シミュレーションコマンド完了。" -ForegroundColor Green -
クリーンアップコマンド:
# クリーンスクリプト: 保護を再有効化し、アーティファクトを削除 Write-Host "[!] クリーンアップ開始..." -ForegroundColor Yellow # 保護を再有効化 Set-MpPreference -DisableRealtimeMonitoring $false Set-MpPreference -DisableScriptScanning $false Set-MpPreference -SubmitSamplesConsent AutoLimit # ダミースクリプトを削除 if (Test-Path "$env:TEMPDisableDefender.ps1") { Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force Write-Host "[+] ダミースクリプト削除完了。" } Write-Host "[+] クリーンアップ完了。システムをベースラインに戻しました。" -ForegroundColor Green