SOC Prime Bias: Критичний

04 Jul 2026 07:08 UTC

Відстеження Олімпіади з Пригнічення Захисту

Author Photo
SOC Prime Team linkedin icon Стежити
Відстеження Олімпіади з Пригнічення Захисту
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник скористався вразливостями в Adobe ColdFusion, щоб розгорнути стеґанографічні webshell на сервері, розгорнутому для публічного доступу. Після отримання початкового доступу зловмисник здійснив агресивні заходи щодо обмеження безпеки, включаючи вимкнення Microsoft Defender, зупинку служб ведення журналу безпеки та модифікацію налаштувань реєстру. Здається, що операція була зосереджена на витяганні облікових даних за допомогою Mimikatz після ослаблення захисту хосту.

Розслідування

Розслідування почалося, коли аналітики виявили команди рекогносцировки, такі як whoami що запускалися з процесу IIS worker, w3wp.exe. Подальший аналіз виявив стеґанографічні webshell, приховані всередині зображень, та пакетний скрипт під назвою i.bat який автоматизував вимкнення засобів безпеки. Додатковий форензичний огляд виявив timestomping та маніпуляцію реєстром для підтримки крадіжки облікових даних та зменшення видимості.

Захист

Організації повинні переконатися, що все програмне забезпечення, особливо ті, що постійно взаємодіють з інтернетом, такі як Adobe ColdFusion, повністю оновлені для захисту від відомих вразливостей. Також важливо налаштувати стійке централізоване ведення журналу, яке не може бути легко змінено з місцевого хосту. Крім того, зміцнення налаштувань безпеки на основі реєстру та моніторинг неавторизованих змін в конфігураціях постачальників безпеки можуть допомогти перервати активність щодо зменшення безпеки.

Відповідь

Якщо така активність виявлена, команди безпеки повинні негайно ізолювати уражений веб-сервер, щоб запобігти подальшому переміщенню або втраті даних. Усі облікові дані, які могли бути розкриті або закешовані під час вторгнення, слід анулювати та обертати. Після цього повний форензичний аналіз має бути виконаний для ідентифікації та видалення стеґанографічних артефактів, а також несанкціонованих запланованих завдань або споживачів WMI подій.

Потік атаки

Виявлення

Підозріла створення події WMI (через командний рядок)

Команда SOC Prime
03 липня 2026

Можливі функції доступності через зловживання реєстром (через командний рядок)

Команда SOC Prime
03 липня 2026

Можлива системна інвентаризація (через командний рядок)

Команда SOC Prime
03 липня 2026

Підозріла активність AppCmd (через командний рядок)

Команда SOC Prime
03 липня 2026

Можливе зловживання ключем реєстру WDigest (через командний рядок)

Команда SOC Prime
03 липня 2026

Можливе викрадення облікових даних бази даних (через командний рядок)

Команда SOC Prime
03 липня 2026

Можлива інвентаризація або маніпуляція обліковими записами або групами (через командний рядок)

Команда SOC Prime
03 липня 2026

Підозріла виконання Taskkill (через командний рядок)

Команда SOC Prime
03 липня 2026

Підозрілі зміни в параметрах Windows Defender (через PowerShell)

Команда SOC Prime
03 липня 2026

Підозріла вимкнення ведення журналів IIS (через командний рядок)

Команда SOC Prime
03 липня 2026

Можливе виявлення через запит реєстру системи (через командний рядок)

Команда SOC Prime
03 липня 2026

Підозріла поведінка сервера Microsoft IIS (через командний рядок)

Команда SOC Prime
03 липня 2026

Можливе виконання шляхом використання короткого імені скрипту (через командний рядок)

Команда SOC Prime
03 липня 2026

Виявлення вимкнення захисту Windows Defender через PowerShell [Windows Powershell]

Правила SOC Prime AI
03 липня 2026

Виявлення експлуатації CVE-2023-29298 через вразливі шляхи ColdFusion [Вебсервер]

Правила SOC Prime AI
03 липня 2026

Виконання симуляції

Передумова: Попередня перевірка телеметрії та базової лінії має бути пройдена.

Оголошення: Цей розділ детально описує точну реалізацію методики противника (TTP), розробленої для викликання правила виявлення. Команди та наратив повинні прямо відображати виявлені TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення. Абрстрактні або невідповідні приклади можуть призвести до неправильної діагностики.

  • Оповідь атаки та команди: Зловмисник успішно здобув доступ локального адміністратора на робочій станції. Для полегшення розгортання збирача облікових даних (наприклад, Mimikatz) без запуску сповіщення, зловмисник вирішує вимкнути сканування в реальному часі Windows Defender. Вони вибирають використання однорядкової команди PowerShell, щоб мінімізувати свій слід, спеціально націлюючись на Set-MpPreference cmdlet, щоб вимкнути моніторинг у реальному часі та сканування скриптів. Ця дія спрямована на створення “сліпої зони” на кінцевому пункті.

  • Сценарій регресійного тесту:

    # Сценарій симуляції: Виклик логіки 'selection_command'
    # ПРИМІТКА: Цей скрипт має бути виконаний з правами адміністратора для успішної зміни налаштувань Defender.
    # Він розроблений, щоб викликати правило виявлення через точний збіг рядка.
    
    Write-Host "[+] Початок симуляції: Вимкнення захистів Windows Defender..." -ForegroundColor Cyan
    
    # Виклик 'Set-MpPreference -DisableRealtimeMonitoring $true'
    Write-Host "[+] Виконання: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # Виклик 'Set-MpPreference -DisableScriptScanning $true'
    Write-Host "[+] Виконання: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # Виклик 'Set-MpPreference -SubmitSamplesConsent NeverSend'
    Write-Host "[+] Виконання: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # Виклик логіки 'selection_file' шляхом створення та виконання фіктивного файлу
    Write-Host "[+] Виконання: Створення та запуск DisableDefender.ps1"
    "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] Команди симуляції завершено." -ForegroundColor Green
  • Команди очищення:

    # Очищаючий сценарій: Відновлення захистів та видалення артефактів
    Write-Host "[!] Початок очищення..." -ForegroundColor Yellow
    
    # Відновлення захистів
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-МpPreference -SubmitSamplesConsent AutoLimit
    
    # Видалення фіктивного скрипту
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] Фіктивний скрипт видалено."
    }
    
    Write-Host "[+] Очищення завершено. Система повернена до базового стану." -ForegroundColor Green