今日は、コミュニティのIOC Sigmaルールに注目したいと思います。それは Ariel Millahuel によって提出され、ユーザーアカウント制御(UAC)を回避するために使用できるモックディレクトリの作成を検出します: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1
モックフォルダーとは、名前に末尾のスペースがあるWindowsフォルダーの特定の模倣であり、セキュリティ研究者の は そのようなディレクトリを悪用する方法を説明しました。彼はPowershellを使用して、1つの制限が伴うモックディレクトリを作成しました:モックディレクトリはサブディレクトリを含む必要があります、そうでないと作成できません。また、Windowsエクスプローラーを介して新しいフォルダーを単純に作成してモックディレクトリを作成することはできません。Windows 10ではそのようなフォルダを作成する方法が複数ありますが、この場合はCMDとPowershellが最も簡単です。
DLLハイジャックやUAC回避のために、攻撃者はモックフォルダー”C:Windows System32″を作成し、元のWindows実行ファイルを”C:WindowsSystem32″から悪意あるDLLファイルと共に巧妙なディレクトリにコピーし、そのディレクトリから実行ファイルを実行できます。同様に、攻撃者はソフトウェア制限ポリシーを回避できます。
このルールは次のプラットフォーム向けに翻訳されています:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 実行
技術: コマンドラインインターフェース (T1059)
SOC Prime TDMを試してみる準備はできていますか? 無料でサインアップ。または Threat Bounty Programに参加して あなた自身のコンテンツを作成し、TDMコミュニティと共有してください。
