Відстеження Олімпіади з Пригнічення Захисту
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник скористався вразливостями в Adobe ColdFusion, щоб розгорнути стеґанографічні webshell на сервері, розгорнутому для публічного доступу. Після отримання початкового доступу зловмисник здійснив агресивні заходи щодо обмеження безпеки, включаючи вимкнення Microsoft Defender, зупинку служб ведення журналу безпеки та модифікацію налаштувань реєстру. Здається, що операція була зосереджена на витяганні облікових даних за допомогою Mimikatz після ослаблення захисту хосту.
Розслідування
Розслідування почалося, коли аналітики виявили команди рекогносцировки, такі як whoami що запускалися з процесу IIS worker, w3wp.exe. Подальший аналіз виявив стеґанографічні webshell, приховані всередині зображень, та пакетний скрипт під назвою i.bat який автоматизував вимкнення засобів безпеки. Додатковий форензичний огляд виявив timestomping та маніпуляцію реєстром для підтримки крадіжки облікових даних та зменшення видимості.
Захист
Організації повинні переконатися, що все програмне забезпечення, особливо ті, що постійно взаємодіють з інтернетом, такі як Adobe ColdFusion, повністю оновлені для захисту від відомих вразливостей. Також важливо налаштувати стійке централізоване ведення журналу, яке не може бути легко змінено з місцевого хосту. Крім того, зміцнення налаштувань безпеки на основі реєстру та моніторинг неавторизованих змін в конфігураціях постачальників безпеки можуть допомогти перервати активність щодо зменшення безпеки.
Відповідь
Якщо така активність виявлена, команди безпеки повинні негайно ізолювати уражений веб-сервер, щоб запобігти подальшому переміщенню або втраті даних. Усі облікові дані, які могли бути розкриті або закешовані під час вторгнення, слід анулювати та обертати. Після цього повний форензичний аналіз має бути виконаний для ідентифікації та видалення стеґанографічних артефактів, а також несанкціонованих запланованих завдань або споживачів WMI подій.
Потік атаки
Виявлення
Підозріла створення події WMI (через командний рядок)
Переглянути
Можливі функції доступності через зловживання реєстром (через командний рядок)
Переглянути
Можлива системна інвентаризація (через командний рядок)
Переглянути
Підозріла активність AppCmd (через командний рядок)
Переглянути
Можливе зловживання ключем реєстру WDigest (через командний рядок)
Переглянути
Можливе викрадення облікових даних бази даних (через командний рядок)
Переглянути
Можлива інвентаризація або маніпуляція обліковими записами або групами (через командний рядок)
Переглянути
Підозріла виконання Taskkill (через командний рядок)
Переглянути
Підозрілі зміни в параметрах Windows Defender (через PowerShell)
Переглянути
Підозріла вимкнення ведення журналів IIS (через командний рядок)
Переглянути
Можливе виявлення через запит реєстру системи (через командний рядок)
Переглянути
Підозріла поведінка сервера Microsoft IIS (через командний рядок)
Переглянути
Можливе виконання шляхом використання короткого імені скрипту (через командний рядок)
Переглянути
Виявлення вимкнення захисту Windows Defender через PowerShell [Windows Powershell]
Переглянути
Виявлення експлуатації CVE-2023-29298 через вразливі шляхи ColdFusion [Вебсервер]
Переглянути
Виконання симуляції
Передумова: Попередня перевірка телеметрії та базової лінії має бути пройдена.
Оголошення: Цей розділ детально описує точну реалізацію методики противника (TTP), розробленої для викликання правила виявлення. Команди та наратив повинні прямо відображати виявлені TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення. Абрстрактні або невідповідні приклади можуть призвести до неправильної діагностики.
-
Оповідь атаки та команди: Зловмисник успішно здобув доступ локального адміністратора на робочій станції. Для полегшення розгортання збирача облікових даних (наприклад, Mimikatz) без запуску сповіщення, зловмисник вирішує вимкнути сканування в реальному часі Windows Defender. Вони вибирають використання однорядкової команди PowerShell, щоб мінімізувати свій слід, спеціально націлюючись на
Set-MpPreferencecmdlet, щоб вимкнути моніторинг у реальному часі та сканування скриптів. Ця дія спрямована на створення “сліпої зони” на кінцевому пункті. -
Сценарій регресійного тесту:
# Сценарій симуляції: Виклик логіки 'selection_command' # ПРИМІТКА: Цей скрипт має бути виконаний з правами адміністратора для успішної зміни налаштувань Defender. # Він розроблений, щоб викликати правило виявлення через точний збіг рядка. Write-Host "[+] Початок симуляції: Вимкнення захистів Windows Defender..." -ForegroundColor Cyan # Виклик 'Set-MpPreference -DisableRealtimeMonitoring $true' Write-Host "[+] Виконання: Set-MpPreference -DisableRealtimeMonitoring $true" Set-MpPreference -DisableRealtimeMonitoring $true # Виклик 'Set-MpPreference -DisableScriptScanning $true' Write-Host "[+] Виконання: Set-MpPreference -DisableScriptScanning $true" Set-MpPreference -DisableScriptScanning $true # Виклик 'Set-MpPreference -SubmitSamplesConsent NeverSend' Write-Host "[+] Виконання: Set-MpPreference -SubmitSamplesConsent NeverSend" Set-MpPreference -SubmitSamplesConsent NeverSend # Виклик логіки 'selection_file' шляхом створення та виконання фіктивного файлу Write-Host "[+] Виконання: Створення та запуск DisableDefender.ps1" "Write-Host 'Simulated Evasion'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1" & "$env:TEMPDisableDefender.ps1" Write-Host "[+] Команди симуляції завершено." -ForegroundColor Green -
Команди очищення:
# Очищаючий сценарій: Відновлення захистів та видалення артефактів Write-Host "[!] Початок очищення..." -ForegroundColor Yellow # Відновлення захистів Set-MpPreference -DisableRealtimeMonitoring $false Set-MpPreference -DisableScriptScanning $false Set-МpPreference -SubmitSamplesConsent AutoLimit # Видалення фіктивного скрипту if (Test-Path "$env:TEMPDisableDefender.ps1") { Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force Write-Host "[+] Фіктивний скрипт видалено." } Write-Host "[+] Очищення завершено. Система повернена до базового стану." -ForegroundColor Green