Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A equipe de Segurança Persistente descreve uma nova maneira de contornar a detecção da técnica de despejo de credenciais T1003.002 ao explorar a utilidade assinada do Windows esentutl.exe. Usando flags relacionadas ao VSS, a ferramenta pode copiar os SAM and hives do REGISTRO sem acionar o Microsoft Defender da mesma forma que métodos de despejo mais comuns.
Investigação
Os pesquisadores testaram três abordagens tradicionais para despejar os hives, incluindo reg save, vssadmin criação de cópia sombra e cópia direta de arquivos, e descobriram que o Defender bloqueou cada uma delas. Eles então usaram testes variantes assistidos por IA para identificar um caminho alternativo: esentutl.exe poderia acessar e extrair os hives através de sua funcionalidade incorporada de VSS enquanto evitava as detecções existentes do Defender.
Mitigação
As defesas recomendadas incluem restringir esentutl.exe através do AppLocker ou WDAC, criar regras Sysmon para detectar executações esentutl que utilizam o /vss , e monitorar atividades de cópia sombra iniciadas fora do comportamento normal do sistema. As organizações também devem implantar o LAPS para contas de administrador local e desativar o VSS onde não seja operacionalmente necessário.
Resposta
If esentutl.exe é observado em execução com o /vss flag e escrevendo em arquivos associados a SAM or hives do REGISTRO, os defensores devem isolar o host afetado, coletar evidências de memória e registro, confirmar se o despejo de credenciais ocorreu, e aplicar os controles de política recomendados para prevenir recorrências.
graph TB %% Class Definitions classDef action fill:#99ccff classDef builtin fill:#cccccc classDef file fill:#ffdd99 %% Nodes action_esentutl_exec[“<b>Ação</b> – <b>T1218.002 Execução Proxy de Binário do Sistema</b><br/>Executar esentutl.exe com os parâmetros /y /vss para criar uma Cópia de Sombra de Volume”] class action_esentutl_exec action tool_esentutl[“<b>Ferramenta</b> – <b>Nome</b>: esentutl.exe<br/><b>Descrição</b>: Utilitário interno do Windows para gerenciamento do Extensible Storage Engine”] class tool_esentutl builtin action_copy_hives[“<b>Ação</b> – <b>T1003 Dump de Credenciais do Sistema Operacional</b><br/>Copiar arquivos SAM e SYSTEM da shadow copy para um local gravável”] class action_copy_hives action action_store_unsecured[“<b>Ação</b> – <b>T1552.001 Credenciais em Arquivos</b><br/>Armazenar arquivos dumpados em disco para análise offline posterior”] class action_store_unsecured action file_sam[“<b>Arquivo</b> – sam_dump<br/><b>Conteúdo</b>: Hive SAM contendo hashes de senha”] class file_sam file file_sys[“<b>Arquivo</b> – sys_dump<br/><b>Conteúdo</b>: Hive SYSTEM contendo chave de boot”] class file_sys file %% Connections action_esentutl_exec –>|uses| tool_esentutl action_esentutl_exec –>|leads_to| action_copy_hives action_copy_hives –>|uses| tool_esentutl action_copy_hives –>|creates| file_sam action_copy_hives –>|creates| file_sys file_sam –>|used_by| action_store_unsecured file_sys –>|used_by| action_store_unsecured
Fluxo de Ataque
Detecções
LOLBAS Esentutl (via linha de comando)
Ver
Atividade VSSADMIN Suspeita (via linha de comando)
Ver
Possível Despejo SAM/SYSTEM/SECURITY (via linha de comando)
Ver
Cópia Suspeita de SAM/SECURITY/NTDS.dit via Cópia Sombra (via linha de comando)
Ver
Detectar Execução de Esentutl com VSS para Contornar SAM Hive [Windows Sysmon]
Ver
Contornar Extração SAM Hive via Esentutl e Cópia Sombra WMI [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: O teste de pré-voo de Telemetria & Base de referência deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para ativar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque e Comandos:
Um adversário que obteve um acesso inicial em um host Windows comprometido deseja coletar hashes de credenciais sem acionar ferramentas típicas de despejo de credenciais que são comumente monitoradas. O invasor aproveita o binário embutidoesentutl.execom o/vssswitch para criar uma cópia sombra do volume do sistema e extrair o hive SAM protegido. Os passos são:- Crie um diretório temporário para a exportação do instantâneo.
- Invoque
esentutl.execom os flags/y(sobrescrever) e/vss, direcionando para o caminho do hive SAM. - Copie o arquivo SAM exportado para um local sob o controle do invasor.
- (Opcional) Limpe o arquivo de instantâneo temporário para reduzir a pegada forense.
Essa sequência produz um evento Sysmon ProcessCreate onde
Imagemtermina comesentutl.exeandLinha de Comandocontém a string/vss, satisfazendo a regra de detecção. -
Script de Teste de Regressão:
# ---------------------------------------------- # Simular extração de SAM baseada em VSS usando esentutl # ---------------------------------------------- $tempDir = "$env:TEMPVSS_Export" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # Caminho para o hive SAM (cópia somente leitura será exportada) $samHive = "$env:SystemRootSystem32configSAM" $outputFile = Join-Path $tempDir "SAM_copy.edb" # Execute esentutl com VSS para exportar o hive SAM $esentPath = "$env:SystemRootSystem32esentutl.exe" $arguments = "/y /vss `"$samHive`" `"$outputFile`"" Write-Host "Executando: $esentPath $arguments" & $esentPath $arguments # Verifique se a exportação foi bem-sucedida if (Test-Path $outputFile) { Write-Host "Hive SAM exportado para $outputFile" } else { Write-Warning "Exportação falhou ou nenhum arquivo criado." } # Limpar arquivo de instantâneo (opcional, depende do comportamento do SO) # Nota: Arquivos de instantâneo do VSS são normalmente autoexcluídos após a exportação. -
Comandos de Limpeza:
# Remover diretório de exportação temporária e arquivos $tempDir = "$env:TEMPVSS_Export" if (Test-Path $tempDir) { Remove-Item -Recurse -Force -Path $tempDir Write-Host "Limpeza completa: $tempDir removido." } else { Write-Host "Nenhuma limpeza necessária; diretório não encontrado." }