フォローする 
概要
Persistent Securityチームは、署名されたWindowsユーティリティを悪用して認証情報ダンピング手法T1003.002を検出回避する新しい方法を説明します。 esentutl.exe。VSS関連のフラグを使用することにより、このツールは SAM and SYSTEM レジストリハイブを、一般的なダンピング方法と同様にMicrosoft Defenderを引き起こさずにコピーできます。
調査
研究者は、3つの従来のハイブダンピング手法(その中には reg save, vssadmin シャドウコピー作成、そして直接ファイルコピー)が含まれますが、これらの方法でDefenderはそれらをすべてブロックしました。その後、AI支援によるバリアントテストを用いて代替パスを特定しました: esentutl.exe 既存のDefenderの検出を回避しつつ、組み込みのVSS機能を通じてハイブにアクセスして抽出することができました。
緩和策
推奨される防御策には、 esentutl.exe をAppLockerやWDACを使って制限し、 esentutl の実行を検出するためにSysmonルールを作成し、 /vss フラグを使用する実行を監視し、通常のシステム動作外で行われるシャドウコピー活動を監視することが含まれます。組織はまた、ローカル管理者アカウント向けにLAPSを展開し、運用上必要でない場合にはVSSを無効化するべきです。
対応策
If esentutl.exe が /vss フラグとともに実行されて、 SAM or SYSTEMに関するファイルへの書き込みが観察された場合、防御者は影響を受けたホストを隔離し、メモリとレジストリの証拠を収集して、認証情報のダンピングが発生したかどうかを確認し、再発を防止するために推奨されるポリシーコントロールを適用するべきです。
graph TB %% Class Definitions classDef action fill:#99ccff classDef builtin fill:#cccccc classDef file fill:#ffdd99 %% Nodes action_esentutl_exec[“<b>アクション</b> – <b>T1218.002 システムバイナリプロキシ実行</b><br/>esentutl.exe を /y /vss オプションで実行しボリュームシャドウコピーを作成”] class action_esentutl_exec action tool_esentutl[“<b>ツール</b> – <b>名前</b>: esentutl.exe<br/><b>説明</b>: Extensible Storage Engine 管理用の Windows 内部ユーティリティ”] class tool_esentutl builtin action_copy_hives[“<b>アクション</b> – <b>T1003 OS認証情報ダンプ</b><br/>シャドウコピーから SAM と SYSTEM ハイブをコピー”] class action_copy_hives action action_store_unsecured[“<b>アクション</b> – <b>T1552.001 ファイル内認証情報</b><br/>ダンプされたハイブをディスクに保存”] class action_store_unsecured action file_sam[“<b>ファイル</b> – sam_dump<br/><b>内容</b>: パスワードハッシュを含む SAM ハイブ”] class file_sam file file_sys[“<b>ファイル</b> – sys_dump<br/><b>内容</b>: ブートキーを含む SYSTEM ハイブ”] class file_sys file %% Connections action_esentutl_exec –>|uses| tool_esentutl action_esentutl_exec –>|leads_to| action_copy_hives action_copy_hives –>|uses| tool_esentutl action_copy_hives –>|creates| file_sam action_copy_hives –>|creates| file_sys file_sam –>|used_by| action_store_unsecured file_sys –>|used_by| action_store_unsecured
攻撃フロー
検出
LOLBAS Esentutl(コマンドライン経由)
表示
疑わしいVSSADMIN活動(コマンドライン経由)
表示
可能性のあるSAM/SYSTEM/SECURITYダンピング(コマンドライン経由)
表示
シャドウコピー経由のSAM/SECURITY/NTDS.ditコピーの不審な行動(コマンドライン経由)
表示
SAMハイブバイパスのためのVSSを使用したEsentutlの実行を検出 [Windows Sysmon]
表示
EsentutlとWMIシャドウコピーを使用してSAMハイブ抽出をバイパス [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリとベースラインプレフライトチェックがチェックをパスする必要があります。
理論:このセクションでは、検出ルールをトリガーするように設計された敵の手法(TTP)の正確な実行を詳細に説明します。コマンドとナラティブはMUST直接識別されたTTPを反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。
-
攻撃のナラティブとコマンド:
侵入拠点を獲得した敵が、通常監視されている一般的な認証情報ダンピングツールを引き起こさずに認証情報のハッシュを収集したいと望んでいます。攻撃者は組み込みのesentutl.exeバイナリを/vssスイッチとともに使用してシステムボリュームのシャドウコピーを作成し、保護されたSAMハイブを抽出します。手順は以下の通りです:- スナップショットエクスポートのための一時ディレクトリを作成します。
- を呼び出して
esentutl.exeを用いて、/y(上書き)と/vssフラグを使用してSAMハイブパスをターゲットにします。 - エクスポートされたSAMファイルを攻撃者の管理下にある場所にコピーします。
- (オプション)フォレンジックフットプリントを減らすために一時スナップショットファイルをクリーンアップします。
このシーケンスはSysmon ProcessCreateイベントを生成し、
画像がesentutl.exeandコマンドラインが文字列を含む場合に/vssを満たし、検出ルールを満たします。 -
回帰テストスクリプト:
# ---------------------------------------------- # esentutlを使用したVSSベースのSAM抽出をシミュレート # ---------------------------------------------- $tempDir = "$env:TEMPVSS_Export" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # SAMハイブのパス(読み取り専用コピーがエクスポートされます) $samHive = "$env:SystemRootSystem32configSAM" $outputFile = Join-Path $tempDir "SAM_copy.edb" # VSSを使用してSAMハイブをエクスポートするにはesentutlを実行 $esentPath = "$env:SystemRootSystem32esentutl.exe" $arguments = "/y /vss `"$samHive`" `"$outputFile`"" Write-Host "実行中: $esentPath $arguments" & $esentPath $arguments # エクスポートが成功したか確認 if (Test-Path $outputFile) { Write-Host "SAMハイブが$outputFileにエクスポートされました" } else { Write-Warning "エクスポートに失敗、またはファイルが作成されていません。" } # スナップショットファイルのクリーンアップ(オプション、OSの動作による) # 注意: VSSスナップショットファイルは通常、エクスポート後に自動削除されます。 -
クリーンアップコマンド:
# 一時エクスポートディレクトリとファイルを削除 $tempDir = "$env:TEMPVSS_Export" if (Test-Path $tempDir) { Remove-Item -Recurse -Force -Path $tempDir Write-Host "クリーンアップ完了: $tempDirが削除されました。" } else { Write-Host "クリーンアップの必要なし。ディレクトリが見つかりません。" }