O conjunto de ataques efetuado modifica a configuração de um sistema operacional (Windows) para inicializar ou modificar serviços e, assim, permitir atividades maliciosas, em seguida. Sequência deste ataque: Disparo do executável sbsimulation_sb_231352_bs_203102.exe, para simulação através da solução SafeBreach. Sbsimulation carrega o arquivo _psutil_windows.cp38-win_amd64.pyd, que utiliza as técnicas T1057: Process Discovery e T1059.003: Windows Command Shell e T1082: System Information Discovery, através do comando cmd.exe /c “ver” O citado script em Python carrega uma biblioteca, caracterizando a técnica T1057: Process Discovery. sbsimulation ajusta o arquivo MaliciousPayload.exe como um Image File Execution Options (IFEO) debugger para um executável, conforme as sub-técnicas T1546.012: Image File Execution Options Injection e T1546.008: Accessibility Features. O debugger é então registrado sob uma registry key. Uma série de técnicas é então utilizada para exploração: T1016: System Network Configuration Discovery, T1018: Remote System Discovery, T1049: System Network Connections Discovery, T1082: System Information Discovery, T1087: Account Discovery e T1135: Network Share Discovery. Um ataque do tipo living-off-the-land, por meio de um binário segue, se aproveitando do PowerShell, que executa alguns scripts, por diversas (sub)técnicas: T1105: Ingress Tool Transfer, T1140: Deobfuscate/Decode Files or Information, T1216: Signed Script Proxy Execution, T1218: Signed Binary Proxy Execution, T1218.003: CMSTP, T1218.004: InstallUtil, T1218.005: Mshta, T1218.010: Regsvr32, T1218.011: Rundll32 e T1220: XSL Script Processing. Ocorre uma injeção de processo com código malicioso. T1055: Process Injection, T1055.001: Dynamic-link Library Injection, T1055.002: Portable Executable Injection, T1055.003: Thread Execution Hijacking, T1055.004: Asynchronous Procedure Call, T1055.012: Process Hollowing e T1059.001: PowerShell. Outro ataque do tipo living-off-the-land segue, com as mesmas (sub)técnicas do anterior. Um filtro de evento WMI é usado para o disparo de outro evento. T1546.003: Event Triggered Execution: Windows Management Instrumentation Event Subscription. A solução de segurança deve detectar e proteger o host contra esses ataques. Para o projeto, o EDR Microsoft Defender for Endpoint foi utilizado em uma máquina Windows 10. Formas de detectar a ameaça: DS0017 e DS0009. Monitorar processos que utilizam demasiadamente a shell de comandos do Windows e que tentam coletar informação de sistema operacional e de processos em execução. Monitorar execução e argumentos de regsvr32.exe, rundll32.exe, wmic.exe e Windows event ID (EID) 400. DS0017. Monitorar comandos executados sob usuários normais (não administradores). Monitorar comandos executados e argumentos por scripts que possam ser utilizados via proxy ou arquivos maliciosos. DS0024. Monitorar valores do registro associados a IFEOs para que não correlacionem com software conhecido ou ciclos de patches. Monitorar mudanças em chaves de registro, como, por exemplo, em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. DS0022. Monitorar novos arquivos que podem estabelecer persistência e/ou elevar privilégios através de funções de acessibilidade (binários que não correlacionem com software conhecido ou ciclos de patches). Monitorar o uso de arquivos HTA, se não forem tipicamente usados. DS0012. Monitorar tentativas de habilitar scripts em um sistema, principalmente os não comumente utilizados. DS0029. Monitorar novas conexões de rede associadas com pings/scans que tentam obter listagem de outros sistemas em uma rede, hosts não confiáveis e tráfego de arquivos potencialmente maliciosos. DS0009. Monitorar processos usados para enumerar contas de usuários e grupos, como net.exe e net1.exe; informação obtida através de WMI ou PowerShell. DS0011. Monitorar eventos de DLL/PE (Portable Executable), especialmente as não reconhecidas ou não carregados em um determinado processo. DS0005. Monitorar entradas de eventos WMI e comparar os atuais com os conhecidos, para cada host. http://maxhomelab.com/wp-content/uploads/2022/06/incidents-microsoft-365-security-1.1.mp4 Formas de mitigação: M1038. Usar application control (por exemplo Windows Defender Application Control, AppLocker etc) para evitar certos executáveis. M1035. Utilizar um Remote Desktop Gateway para gerenciar conexões a configurações de RDP em uma rede. M1028. Garantir que Network Level Authentication esteja habilitada, para que uma sessão deva ser autenticada. Desabilitar enumeração de contas de admnistrador quando uma aplicação sofre elevação de privilégio atraves de UAC. M1031. Usar sistemas de prevenção baseados em assinaturas para identificar tráfego de um malware específico ou por protocolos incomuns. M1042. Desabilitar ou remover binários e programas não necessários. M1050. Usar a funcionalidade Microsoft’s Enhanced Mitigation Experience Toolkit (EMET) Attack Surface Reduction (ASR) para bloquear métodos que utilizam binários confiáveis para passar por um recurso de Applicaion Control.. M1040. Restringir execução de certos binários a contas e grupos com privilégio elevado. M1026 Algumas soluções de segurança podem ser configuradas para bloquear alguns tipos de injeção de processo baseadas em sequências de comportamento. M1049. Anti-vírus pode ser usado para automaticamente colocar arquivos suspeitos em quarentena. M1045. Configurar a política de execução em PowerShell para apenas scripts assinados. M1018. Por padrão, apenas administradores podem conectar remotamente utilizando WMI.