Hackers desativam Defender, Sysmon e WAF antes de roubar credenciais com Mimikatz
Um grupo de ameaças descobriu uma nova maneira de cegar equipes de segurança antes de roubar senhas, e a técnica é tão completa quanto alarmante. Um ator de ameaças recentemente desativou o Microsoft Defender, matou a ferramenta de log Sysmon e derrubou um firewall de aplicação web, tudo antes de implantar o Mimikatz para colher credenciais. A campanha mostra até onde os atacantes vão para apagar suas pegadas e evitar detecção. A intrusão começou em 7 de junho com um servidor web comprometido e comandos de reconhecimento básicos.
Linha do tempo do ataque e evasão de defesa
O que parecia ser uma enumeração rotineira logo se escalonou para uma das operações de evasão de defesa mais agressivas observadas este ano, envolvendo quase uma dúzia de técnicas distintas sobrepostas. A Huntress disse em um relatório compartilhado com a Cyber Security News que identificaram o incidente após seu SOC detectar atividade de enumeração suspeita gerada a partir de um processo IIS worker legítimo. Essa anomalia levou os investigadores a descobrir um webshell esteganográfico escondido dentro de um arquivo de imagem, marcando o ponto de partida de uma cadeia de ataque muito maior.
O webshell, chamado UA4fp7R.aspx, havia sido ocultado usando esteganografia e foi rastreado até um diretório destinado apenas a imagens. A partir daí, o atacante expandiu seu ponto de apoio, retornando múltiplas vezes mesmo após a equipe de segurança tentar a remediação, escalonando finalmente para roubo total de credenciais. O que torna este caso notável não é apenas o dumping de credenciais em si, mas a sequência deliberada de sabotagem defensiva que o precedeu. O atacante desmantelou sistematicamente logging, ferramentas de segurança e sistemas de monitoramento antes de tocar no Mimikatz.
Técnicas de desativação de ferramentas de segurança
O playbook do atacante se concentrou em um script em lote chamado i.bat, que a Huntress recuperou antes que pudesse ser deletado. O script primeiro desativou o log HTTP do IIS, cortando a visibilidade sobre a atividade do webshell no servidor. Em seguida, executou comandos PowerShell para enfraquecer o Microsoft Defender, desligando monitoramento em tempo real, monitoramento de comportamento, análise de script e envio de amostras. Um script companheiro chamado DisableDefender.ps1 reforçou essas alterações antes de ser deletado para cobrir seus rastros.
Em seguida, o script usou taskkill e o controlador de serviço do Windows para terminar e remover o Sysmon, Filebeat e várias ferramentas de segurança de endpoint, incluindo produtos da Cortex, SentinelOne e Dr.Web. Isso efetivamente cegou o ambiente para atividade maliciosa. O atacante também usou Opções de Execução de Arquivo de Imagem para forçar Sysmon, Filebeat e SetACL para um estado de depurador, congelando-os inteiramente. Finalmente, eles usaram appcmd para enumerar sites IIS antes de desinstalar o firewall de aplicação web ModSecurity, removendo proteção contra ataques de injeção SQL e cross-site scripting.
Roubo de credenciais e persistência
Com as defesas removidas, o atacante voltou-se para o roubo de credenciais. Eles importaram um arquivo de registro para modificar a configuração WDigest, forçando o Windows a armazenar senhas em memória em texto plano em vez de um formato protegido. Eles então extraíram credenciais ODBC armazenadas no registro e executaram ferramentas identificadas como g.com e hs.com, que escreveram dados roubados para pass.txt e hash.txt. O driver de kernel do Mimikatz, mimidrv.sys, foi usado para despejar credenciais diretamente da memória antes de ser deletado.
Além do roubo de credenciais, o script continha código comentado para um consumidor de evento WMI capaz de limpar logs de eventos do Windows automaticamente, junto com comandos para remover permissões de arquivo em componentes principais do Windows. Essas entradas sugerem que o atacante estava preparado para escalar ainda mais. Antes de sair, o atacante deletou arquivos gerados, limpou chaves de registro ligadas ao WScript e Shell.Application e limpou os logs de eventos de segurança, sistema e aplicativo.
Indicadores de comprometimento e IoCs
Os indicadores de comprometimento identificados incluem hashes SHA256 específicos para webshells esteganográficos e scripts de evasão de defesa. O hash bd74a00f4d2ec3bf50d13ddf324bb368b2464d547abd0c572ef5e2f77943a92 corresponde ao webshell esteganográfico UA4fp7R.aspx. O hash 94cd18f3f030fcc9b259dc410b17ea72a1f9800ee654f8e0f07a87bb9443b59 corresponde ao arquivo de lote de evasão de defesa i.bat. A string ONEPIECE foi encontrada embutida e usada para identificar webshells relacionados.
Recomendações de segurança para equipes de SOC
Organizações devem aplicar higiene de segurança fundamental para prevenir ataques semelhantes. Passos recomendados incluem manter software totalmente atualizado, garantir logging adequado em servidores web e endpoints e colocar servidores voltados para a internet atrás de um firewall ou VPN quando possível. O relatório também enfatizou que a resposta a incidentes deve ser seguida completamente, pois trazer um servidor de volta online antes de terminar a remediação dá aos atacantes uma nova chance de retornar, exatamente como aconteceu neste caso.
Implicações para governança de segurança
A capacidade dos atacantes de desativar ferramentas de segurança críticas como Defender e Sysmon destaca a necessidade de uma arquitetura de segurança em camadas. A dependência de uma única ferramenta de detecção é insuficiente. Equipes de segurança devem implementar monitoramento externo, como SIEMs e EDRs com capacidades de detecção baseadas em comportamento, para identificar atividades de desativação de segurança. A gestão de privilégios deve ser rigorosa para impedir que contas comprometidas tenham permissões para desabilitar ferramentas de segurança.
Perguntas frequentes sobre o ataque
Como detectar esse tipo de ataque? Monitorar mudanças em serviços do Windows, desativação de logs e execução de scripts PowerShell incomuns.
É necessário reimaging do servidor? Sim, devido à profundidade do comprometimento, a reimagem é recomendada para garantir a remoção completa de backdoors.
Devo confiar nos logs do IIS? Não, os atacantes desativaram o log HTTP do IIS, tornando-os inúteis para detecção.
Qual a severidade do comprometimento? Crítica, pois credenciais de administrador podem ter sido roubadas.
Como prevenir desativação de Defender? Proteger chaves de registro e serviços do Defender com permissões restritas.
Devo atualizar o Mimikatz? O Mimikatz é uma ferramenta de teste de penetração, mas sua presença indica comprometimento.
É possível recuperar dados criptografados? Não há evidência de criptografia neste caso, mas backups devem ser verificados.
Qual o tempo de detecção? A Huntress detectou a atividade em tempo real, impedindo o roubo de dados.
Isso afeta outras versões do Windows? Técnicas similares podem ser usadas em outras versões, mas o foco foi no Windows Server.
Devo notificar autoridades? Sim, se houver dados sensíveis envolvidos, notificações podem ser exigidas.
Como melhorar a detecção? Implementar detecção de anomalias em logs de sistema e rede.