Техника на mitre.org

T1218.002: Панель управления

Злоумышленники могут использовать процесс control.exe для выполнения полезных нагрузок. Двоичный код процесса Windows Control Panel (control.exe) отвечает за выполнение компонентов панели управления, то есть утилит для просмотра и изменения настроек компьютера.

Компоненты панели управления — это зарегистрированные исполняемые файлы (.exe) или файлы панели управления (.cpl), причем последние на самом деле являются переименованными файлами библиотек динамической компоновки (.dll), которые экспортируют функцию CPlApplet. Для удобства использования компоненты панели управления обычно имеют графические меню, которые становятся доступны пользователям после регистрации и загрузки в панель управления. Компоненты панели управления можно запускать непосредственно из командной строки, программно через API или двойным щелчком мыши по файлу.

Вредоносные компоненты панели управления могут доставляться в целевую систему с помощью фишинга или входить в состав вредоносного ПО с многоступенчатой загрузкой. Компоненты панели управления, в частности CPL-файлы, могут обходить механизмы фильтрации по спискам разрешенных приложений и (или) расширений файлов.

Злоумышленники могут также менять расширения вредоносных DLL-файлов (.dll) на расширения компонентов панели управления (.cpl) и регистрировать их в ветке реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls. Даже если такие зарегистрированные DLL-файлы не соответствуют спецификации CPL-файлов и не экспортируют функции CPlApplet, они будут загружаться и выполняться через свою точку входа DllEntryPoint при запуске панели управления. CPL-файлы, которые не экспортируют CPlApplet, не являются непосредственно исполняемыми.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-193: ControlPanel_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows control.exe (используется для запуска элементов панели управления)

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Составляйте перечень компонентов панели управления, чтобы обнаружить незарегистрированные и потенциально вредоносные файлы: Исполняемые файлы, зарегистрированные как компоненты панели управления, имеют глобальный уникальный идентификатор (GUID) и записи регистрации в реестре, которые хранятся в `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace` и `HKEY_CLASSES_ROOT\CLSID{GUID}`. Эти записи могут содержать данные о компонентах панели управления, включая их отображаемые имена, пути к локальным файлам и команды, выполняемые при их открытии в панели управления . Компоненты панели управления, зарегистрированные в формате CPL, которые хранятся в каталоге System32, автоматически отображаются на панели управления. Записи регистрации для других компонентов панели управления хранятся в ключах реестра `CPLs` и `Extended Properties` в `HKEY_LOCAL_MACHINE или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Control Panel`. Данные записи могут содержать данные о GUID, путь к локальным файлам и каноническое имя, с помощью которого файл запускается через программу ( `WinExec("c:\windows\system32\control.exe {каноническое_имя}", SW_NORMAL);`) или с помощью командной строки (`control.exe /name {каноническое_имя}`). Ряд компонентов панели управления можно расширить с помощью расширения оболочки, зарегистрированного в `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Controls Folder{имя}\Shellex\PropertySheetHandlers`, где {имя} — известное заранее имя компонента системы.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте события, связанные с файлами DLL/PE, такие как функции API `Control_RunDLL` и `ControlRunDLLAsUser` в библиотеке shell32.dll.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	При щелчке на CPL-файл или его запуске через командную строку (например, командой `control.exe file.cpl`) файл сначала открывается через control.exe, а затем с помощью утилиты Rundll32 вызываются API-функции этого CPL-файла (например, `rundll32.exe shell32.dll,Control_RunDLL file.cpl`). Однако CPL-файлы могут быть запущены и напрямую путем вызова соответствующей функции API через утилиту Rundll32, что позволяет обойти механизмы обнаружения и (или) фильтры выполнения для control.exe.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте и анализируйте операции с компонентами, связанными с CPL-файлами, например control.exe. Анализируйте новые компоненты панели управления, а также компоненты, уже присутствующие на диске, на предмет вредоносного содержимого. CPL-файлы, как и обычные исполняемые файлы, являются образами PE-формата, а значит, их можно анализировать с помощью традиционных инструментов и методов с учетом применяемых техник противодействия реверс-инжинирингу.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте создание файлов, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Составляйте перечень компонентов панели управления, чтобы обнаружить незарегистрированные и потенциально вредоносные файлы: Исполняемые файлы, зарегистрированные как компоненты панели управления, имеют глобальный уникальный идентификатор (GUID) и записи регистрации в реестре, которые хранятся в `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace` и `HKEY_CLASSES_ROOT\CLSID{GUID}`. Эти записи могут содержать данные о компонентах панели управления, включая их отображаемые имена, пути к локальным файлам и команды, выполняемые при их открытии в панели управления . Компоненты панели управления, зарегистрированные в формате CPL, которые хранятся в каталоге System32, автоматически отображаются на панели управления. Записи регистрации для других компонентов панели управления хранятся в ключах реестра `CPLs` и `Extended Properties` в `HKEY_LOCAL_MACHINE или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Control Panel`. Данные записи могут содержать данные о GUID, путь к локальным файлам и каноническое имя, с помощью которого файл запускается через программу ( `WinExec("c:\windows\system32\control.exe {каноническое_имя}", SW_NORMAL);`) или с помощью командной строки (`control.exe /name {каноническое_имя}`). Ряд компонентов панели управления можно расширить с помощью расширения оболочки, зарегистрированного в `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Controls Folder{имя}\Shellex\PropertySheetHandlers`, где {имя} — известное заранее имя компонента системы.
DS0011	Модуль: Загрузка модуля	Отслеживайте события, связанные с файлами DLL/PE, такие как функции API `Control_RunDLL` и `ControlRunDLLAsUser` в библиотеке shell32.dll.
DS0017	Команда: Выполнение команд	При щелчке на CPL-файл или его запуске через командную строку (например, командой `control.exe file.cpl`) файл сначала открывается через control.exe, а затем с помощью утилиты Rundll32 вызываются API-функции этого CPL-файла (например, `rundll32.exe shell32.dll,Control_RunDLL file.cpl`). Однако CPL-файлы могут быть запущены и напрямую путем вызова соответствующей функции API через утилиту Rundll32, что позволяет обойти механизмы обнаружения и (или) фильтры выполнения для control.exe.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам.
DS0009	Процесс: Создание процесса	Отслеживайте и анализируйте операции с компонентами, связанными с CPL-файлами, например control.exe. Анализируйте новые компоненты панели управления, а также компоненты, уже присутствующие на диске, на предмет вредоносного содержимого. CPL-файлы, как и обычные исполняемые файлы, являются образами PE-формата, а значит, их можно анализировать с помощью традиционных инструментов и методов с учетом применяемых техник противодействия реверс-инжинирингу.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Ограничьте хранение и выполнение элементов панели управления защищенными каталогами, например `C:\Windows`, а не каталогами пользователя.

ID	M1038	Название	Защита от выполнения	Описание	Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политик ограничения программного обеспечения, чтобы выявлять и при необходимости блокировать потенциально вредоносные и неизвестные файлы .cpl .

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Ограничьте хранение и выполнение элементов панели управления защищенными каталогами, например `C:\Windows`, а не каталогами пользователя.
M1038	Защита от выполнения	Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политик ограничения программного обеспечения, чтобы выявлять и при необходимости блокировать потенциально вредоносные и неизвестные файлы .cpl .