IOC 시그마: 모의 폴더 생성

오늘은 커뮤니티 IOC Sigma 규칙에 대해 주목하고자 합니다. 이 규칙은 Ariel Millahuel 님이 제출했으며, User Account Control (UAC)을 우회하기 위해 사용될 수 있는 모의 디렉토리 생성 감지를 목적으로 합니다: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

모의 폴더는 이름에 뒤따르는 공백이 있는 Windows 폴더의 특정 모방으로, 보안 연구원인 가 이러한 디렉토리를 오용하는 방법을 설명했습니다. 그는 Powershell을 사용하여 하나의 제한 사항을 가지는 모의 디렉토리를 생성했습니다. 모의 디렉토리는 하위 디렉토리를 포함해야만 생성될 수 있습니다. 또한 Windows Explorer를 통해 새 폴더를 단순히 생성하여 모의 디렉토리를 만들 수 없습니다. Windows 10에서는 이러한 폴더를 생성하는 여러 가지 방법이 있지만, 이 경우에는 CMD와 Powershell이 사용하기 가장 쉽습니다. 

DLL 하이재킹 및 UAC 우회를 위해 공격자는 모의 폴더 “C:Windows System32″를 생성하고, 원본 Windows 실행 파일을 “C:WindowsSystem32″에서 이 교묘한 디렉토리로 복사한 후 악성 DLL 파일과 함께 이 디렉토리에서 실행 파일을 실행할 수 있습니다. 같은 방식으로 공격자는 소프트웨어 제한 정책을 우회할 수 있습니다.

이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행

기술: 명령줄 인터페이스 (T1059)

SOC Prime TDM을 시도해보실 준비가 되셨나요? 무료로 가입하십시오. 또는 위협 현상금 프로그램에 참여 하여 나만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.