Ferramenta Swarmer Evadindo EDR com uma Modificação Furtiva no Registro do Windows para Persistência

Resumo

Swarmer é uma utilidade de persistência de baixo privilégio para Windows que cria uma colmeia de perfil de usuário obrigatório (NTUSER.MAN) e a edita via a API do Registro Offline. Como não depende das APIs convencionais Reg* do Windows, pode plantar persistência na chave Run enquanto reduz a visibilidade para a telemetria do EDR ajustada para o comportamento padrão de escrita no registro. O método abusa do tratamento de perfil obrigatório para transportar entradas de inicialização entre logons sem direitos de administrador. Swarmer está disponível como um executável autônomo ou um módulo PowerShell e pode ser usado de maneiras que minimizam artefatos no disco.

Investigação

O relatório descreve o fluxo de ponta a ponta do Swarmer: ele exporta a colmeia HKCU atual, altera os dados exportados para incluir persistência de inicialização e reconstrói a colmeia usando rotinas Offreg.dll, como ORCreateHive e ORSetValue. A colmeia reconstruída é então colocada como NTUSER.MAN dentro do caminho do perfil do usuário para ser aplicada durante o login. A execução é controlada por meio de opções de linha de comando que definem o valor de inicialização alvo e a localização do payload a ser executado. Os autores validaram a técnica no Windows 10 e no Windows 11.

Mitigação

Monitorar a criação de NTUSER.MAN em contextos de usuário onde perfis obrigatórios não são esperados e alertar sobre Offreg.dll sendo carregado por processos incomuns. Proteger e verificar a integridade dos diretórios usados para perfis obrigatórios e estabelecer uma linha de base das operações legítimas de registro offline para que desvios se destaquem. Adicionar detecções para alterações suspeitas na colmeia que entram em vigor no logon, em vez de em tempo de execução. Quando viável, restringir a capacidade de um usuário de criar ou manipular artefatos de perfil obrigatório.

Resposta

Se identificado, isolar o endpoint, adquirir a colmeia NTUSER.MAN para análise e enumerar qualquer entrada injetada na chave Run. Remover valores de inicialização não autorizados e restaurar uma colmeia de usuário conhecida para eliminar a persistência. Realizar uma revisão forense mais ampla para confirmar que não foram estabelecidas cargas úteis secundárias ou caminhos de persistência alternativos, e procurar em toda a frota o mesmo padrão de escrita de colmeia. Reforçar os controles de menor privilégio para evitar que usuários de baixo privilégio criem perfis obrigatórios.

Execução de Simulação

Pré-requisito: O Pré-Teste de Telemetria & Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

• Narrativa & Comandos de Ataque:
  O invasor obteve uma posição em um host comprometido e deseja estabelecer persistência que sobreviva ao logon do usuário sem tocar nas colmeias padrão do Registro (para evitar ganchos do EDR). Usando a ferramenta Swarmer , o invasor:

  1. Determina o diretório de perfil do usuário alvo (C:Usersvictim).
  2. Cria um arquivo de colmeia malicioso (NTUSER.MAN) contendo uma chave Run que lança uma carga útil de backdoor no logon.
  3. Escreve o arquivo diretamente no perfil da vítima usando E/S de arquivo de baixo nível (contornando chamadas de nível alto do WinAPI).
  4. Chama a API do Registro Offline ORCreateHive para carregar a colmeia recém-criada na memória, registra a chave Run e, finalmente, chama o ORSaveHive para persistir as alterações.

  Ambas as ações geram:

  • Evento SysmonID 11 – criação de arquivo terminando com NTUSER.MAN.
  • Evento de SegurançaID 4688 – um processo (swarmer.exe) cuja linha de comando contém ORCreateHive (ou outra flag OR*).

• Script de Teste de Regressão:

  #--------------------------------------------------------------
  # Simulação de Persistência de Registro no Estilo Swarmer (PowerShell)
  #--------------------------------------------------------------
  # 1. Defina o caminho do perfil da vítima
  $victimProfile = "$env:SystemDriveUsersvictim"
  $ntUserManPath = Join-Path $victimProfile "NTUSER.MAN"
  
  # 2. Crie um arquivo de colmeia mínimo (substituto binário)
  #    Em um ataque real, isso seria uma colmeia do registro elaborada.
  $hiveBytes = [byte[]] (0..255)               # dados de exemplo
  [IO.File]::WriteAllBytes($ntUserManPath, $hiveBytes)
  
  # 3. Invoque a API de Registro Offline via um executável auxiliar.
  #    Suponha que swarmer_helper.exe é um binário compilado que envolve
  #    as funções nativas de Registro Offline.
  $helper = "C:Toolsswarmer_helper.exe"
  $args = @(
      "ORCreateHive", "`"$ntUserManPath`""
      "ORSetValue", "HKLMSoftwareMicrosoftWindowsCurrentVersionRunmyBackdoor", "`"C:Malwarebackdoor.exe`""
      "ORSaveHive", "`"$ntUserManPath`""
  )
  & $helper $args
  #--------------------------------------------------------------

• Comandos de Limpeza:

  # Remova a colmeia maliciosa e a descarregue se necessário
  Remove-Item -Path "$env:SystemDriveUsersvictimNTUSER.MAN" -Force
  # Se o auxiliar deixou alguma colmeia na memória, force a descarga (exemplo)
  & "$env:ProgramFilesWindows Kits10binx64reg.exe" unload "HKUTempHive"