SOC Prime Bias: Crítico

04 Jul 2026 07:08 UTC

Acompanhar as Olimpíadas de Comprometimento da Defesa

Author Photo
SOC Prime Team linkedin icon Seguir
Acompanhar as Olimpíadas de Comprometimento da Defesa
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um agente de ameaça explorou vulnerabilidades no Adobe ColdFusion para implantar webshells esteganográficas em um servidor web voltado para o público. Após obter acesso inicial, o atacante realizou atividade agressiva de comprometimento da defesa, incluindo a desativação do Microsoft Defender, encerramento de serviços de registro de segurança e modificação de configurações de registro. A operação, em última análise, parecia focada na captura de credenciais com Mimikatz após enfraquecer as proteções do host.

Investigação

A investigação começou quando os analistas detectaram comandos de reconhecimento, como whoami lançando do processo de trabalho do IIS, w3wp.exe. Análise adicional descobriu webshells esteganográficos ocultos dentro de arquivos de imagem e um script em lote chamado i.bat que automatizou o desligamento dos controles de segurança. Revisão forense adicional revelou ‘timestomping’ e adulteração de registro utilizados para apoiar o roubo de credenciais e reduzir a visibilidade.

Mitigação

As organizações devem garantir que todo o software, especialmente plataformas voltadas para a Internet, como Adobe ColdFusion, esteja totalmente patchado contra vulnerabilidades conhecidas. Implantar um registro centralizado resiliente que não possa ser facilmente alterado a partir do host local também é crítico. Além disso, endurecer as configurações de segurança baseadas em registro e monitorar mudanças não autorizadas nas configurações do provedor de segurança pode ajudar a interromper atividades de comprometimento da defesa.

Resposta

Se essa atividade for detectada, as equipes de segurança devem isolar imediatamente o servidor web afetado para evitar mais movimentos ou perda de dados. Todas as credenciais que possam ter sido expostas ou armazenadas em cache durante a intrusão devem ser revogadas e rotacionadas. Uma varredura forense completa deve então ser realizada para identificar e remover artefatos esteganográficos, bem como quaisquer tarefas agendadas não autorizadas ou consumidores de eventos WMI.

Fluxo de Ataque

Detecções

Criação de Consumidor de Evento WMI Suspeito (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possíveis Recursos de Acessibilidade via Abuso de Registro (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possível Enumeração de Sistema (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Atividade Suspeita do AppCmd (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possível Abuso da Chave de Registro WDigest (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possível Roubo de Credenciais de Banco de Dados (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possível Enumeração ou Manipulação de Conta ou Grupo (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Execução de Taskkill Suspeita (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Alterações Suspeitas nas Preferências do Windows Defender (via powershell)

Equipe SOC Prime
03 Jul 2026

Desativação Suspeita de Registro do IIS (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possível Descoberta ao Consultar o Registro do Sistema (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Comportamento Suspeito do Servidor Microsoft IIS (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Possível Execução pelo Uso de Nome Curto de Script (via linha de comando)

Equipe SOC Prime
03 Jul 2026

Detectar Desativação de Proteções do Windows Defender via PowerShell [Windows Powershell]

Regras de IA da SOC Prime
03 Jul 2026

Detecção de Exploração para CVE-2023-29298 via Caminhos Vulneráveis do ColdFusion [Servidor Web]

Regras de IA da SOC Prime
03 Jul 2026

Execução de Simulação

Pré-requisito: O Check do Telemetria & Baseline Pré-vôo deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos de Ataque: Um adversário obteve com sucesso acesso de administrador local em uma estação de trabalho. Para facilitar a implantação de um coletor de credenciais (como Mimikatz) sem disparar um alerta, o atacante decide desativar a varredura em tempo real do Windows Defender. Eles optam por usar um comando de PowerShell em linha única para minimizar sua pegada, visando especificamente o cmdlet Set-MpPreference para desativar o monitoramento em tempo real e a varredura de scripts. Esta ação tem a intenção de criar um “ponto cego” no endpoint.

  • Script de Teste de Regressão:

    # Script de Simulação: Acionando a lógica 'selection_command'
    # NOTA: Este script deve ser executado como Administrador para ter sucesso na alteração das configurações do Defender.
    # Ele é projetado para acionar a regra de detecção por meio de correspondência exata de string.
    
    Write-Host "[+] Iniciando Simulação: Desativando Proteções do Windows Defender..." -ForegroundColor Cyan
    
    # Acionando 'Set-MpPreference -DisableRealtimeMonitoring $true'
    Write-Host "[+] Executando: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # Acionando 'Set-MpPreference -DisableScriptScanning $true'
    Write-Host "[+] Executando: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # Acionando 'Set-MpPreference -SubmitSamplesConsent NeverSend'
    Write-Host "[+] Executando: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # Acionando a lógica 'selection_file' criando e executando um arquivo fictício
    Write-Host "[+] Executando: Criando e executando DisableDefender.ps1"
    "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] Comandos de Simulação Completos." -ForegroundColor Green
  • Comandos de Limpeza:

    # Script de Limpeza: Reativando proteções e removendo artefatos
    Write-Host "[!] Iniciando Limpeza..." -ForegroundColor Yellow
    
    # Reativar proteções
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-MpPreference -SubmitSamplesConsent AutoLimit
    
    # Remover o script fictício
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] Script fictício removido."
    }
    
    Write-Host "[+] Limpeza Completa. Sistema retornado à linha de base." -ForegroundColor Green