T1218.002: Панель управления
Злоумышленники могут использовать процесс control.exe для выполнения полезных нагрузок. Двоичный код процесса Windows Control Panel (control.exe) отвечает за выполнение компонентов панели управления, то есть утилит для просмотра и изменения настроек компьютера.
Компоненты панели управления — это зарегистрированные исполняемые файлы (.exe) или файлы панели управления (.cpl), причем последние на самом деле являются переименованными файлами библиотек динамической компоновки (.dll), которые экспортируют функцию CPlApplet
. Для удобства использования компоненты панели управления обычно имеют графические меню, которые становятся доступны пользователям после регистрации и загрузки в панель управления. Компоненты панели управления можно запускать непосредственно из командной строки, программно через API или двойным щелчком мыши по файлу.
Вредоносные компоненты панели управления могут доставляться в целевую систему с помощью фишинга или входить в состав вредоносного ПО с многоступенчатой загрузкой. Компоненты панели управления, в частности CPL-файлы, могут обходить механизмы фильтрации по спискам разрешенных приложений и (или) расширений файлов.
Злоумышленники могут также менять расширения вредоносных DLL-файлов (.dll) на расширения компонентов панели управления (.cpl) и регистрировать их в ветке реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
. Даже если такие зарегистрированные DLL-файлы не соответствуют спецификации CPL-файлов и не экспортируют функции CPlApplet
, они будут загружаться и выполняться через свою точку входа DllEntryPoint
при запуске панели управления. CPL-файлы, которые не экспортируют CPlApplet
, не являются непосредственно исполняемыми.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-193: ControlPanel_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows control.exe (используется для запуска элементов панели управления)
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Составляйте перечень компонентов панели управления, чтобы обнаружить незарегистрированные и потенциально вредоносные файлы:
|
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, такие как функции API |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | При щелчке на CPL-файл или его запуске через командную строку (например, командой |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте и анализируйте операции с компонентами, связанными с CPL-файлами, например control.exe. Анализируйте новые компоненты панели управления, а также компоненты, уже присутствующие на диске, на предмет вредоносного содержимого. CPL-файлы, как и обычные исполняемые файлы, являются образами PE-формата, а значит, их можно анализировать с помощью традиционных инструментов и методов с учетом применяемых техник противодействия реверс-инжинирингу. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ограничьте хранение и выполнение элементов панели управления защищенными каталогами, например |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политик ограничения программного обеспечения, чтобы выявлять и при необходимости блокировать потенциально вредоносные и неизвестные файлы .cpl . |
---|