IOC Sigma: Criação de Pastas Falsas

Hoje queremos prestar atenção à regra Sigma de IOC da comunidade enviada por Ariel Millahuel para detectar a criação de diretórios falsos que podem ser usados para contornar o Controle de Conta de Usuário (UAC): https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1

Um diretório falso é uma imitação específica de uma pasta do Windows com um espaço no final do nome, e o pesquisador de segurança descreveu a maneira de abusar de tais diretórios. Ele usou o Powershell para criar diretórios falsos que vêm com uma restrição: um diretório falso deve incluir um subdiretório ou não pode ser criado. Diretórios falsos também não podem ser criados através do Windows Explorer simplesmente criando uma nova pasta. Existem várias maneiras de criar tais pastas no Windows 10, mas CMD e Powershell são os mais fáceis de usar neste caso. 

Para DLL hijacking e contornar o UAC, atacantes podem criar um diretório falso “C:Windows System32”, copiar o executável original do Windows de “C:WindowsSystem32” para o diretório falso junto com o arquivo DLL malicioso e então executar o executável a partir desse diretório. Da mesma forma, atacantes podem contornar Políticas de Restrição de Software.

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução

Técnicas: Interface de Linha de Comando (T1059)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou participe do Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.