MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1218.002: Панель управления

Злоумышленники могут использовать процесс control.exe для выполнения полезных нагрузок. Двоичный код процесса Windows Control Panel (control.exe) отвечает за выполнение компонентов панели управления, то есть утилит для просмотра и изменения настроек компьютера.

Компоненты панели управления — это зарегистрированные исполняемые файлы (.exe) или файлы панели управления (.cpl), причем последние на самом деле являются переименованными файлами библиотек динамической компоновки (.dll), которые экспортируют функцию CPlApplet. Для удобства использования компоненты панели управления обычно имеют графические меню, которые становятся доступны пользователям после регистрации и загрузки в панель управления. Компоненты панели управления можно запускать непосредственно из командной строки, программно через API или двойным щелчком мыши по файлу.

Вредоносные компоненты панели управления могут доставляться в целевую систему с помощью фишинга или входить в состав вредоносного ПО с многоступенчатой загрузкой. Компоненты панели управления, в частности CPL-файлы, могут обходить механизмы фильтрации по спискам разрешенных приложений и (или) расширений файлов.

Злоумышленники могут также менять расширения вредоносных DLL-файлов (.dll) на расширения компонентов панели управления (.cpl) и регистрировать их в ветке реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls. Даже если такие зарегистрированные DLL-файлы не соответствуют спецификации CPL-файлов и не экспортируют функции CPlApplet, они будут загружаться и выполняться через свою точку входа DllEntryPoint при запуске панели управления. CPL-файлы, которые не экспортируют CPlApplet, не являются непосредственно исполняемыми.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-193: ControlPanel_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows control.exe (используется для запуска элементов панели управления)

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Составляйте перечень компонентов панели управления, чтобы обнаружить незарегистрированные и потенциально вредоносные файлы:

  • Исполняемые файлы, зарегистрированные как компоненты панели управления, имеют глобальный уникальный идентификатор (GUID) и записи регистрации в реестре, которые хранятся в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace и HKEY_CLASSES_ROOT\CLSID{GUID}. Эти записи могут содержать данные о компонентах панели управления, включая их отображаемые имена, пути к локальным файлам и команды, выполняемые при их открытии в панели управления .
  • Компоненты панели управления, зарегистрированные в формате CPL, которые хранятся в каталоге System32, автоматически отображаются на панели управления. Записи регистрации для других компонентов панели управления хранятся в ключах реестра CPLs и Extended Properties в HKEY_LOCAL_MACHINE или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Control Panel. Данные записи могут содержать данные о GUID, путь к локальным файлам и каноническое имя, с помощью которого файл запускается через программу ( WinExec("c:\windows\system32\control.exe {каноническое_имя}", SW_NORMAL);) или с помощью командной строки (control.exe /name {каноническое_имя}).
  • Ряд компонентов панели управления можно расширить с помощью расширения оболочки, зарегистрированного в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Controls Folder{имя}\Shellex\PropertySheetHandlers, где {имя} — известное заранее имя компонента системы.
IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте события, связанные с файлами DLL/PE, такие как функции API Control_RunDLL и ControlRunDLLAsUser в библиотеке shell32.dll.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

При щелчке на CPL-файл или его запуске через командную строку (например, командой control.exe file.cpl) файл сначала открывается через control.exe, а затем с помощью утилиты Rundll32 вызываются API-функции этого CPL-файла (например, rundll32.exe shell32.dll,Control_RunDLL file.cpl). Однако CPL-файлы могут быть запущены и напрямую путем вызова соответствующей функции API через утилиту Rundll32, что позволяет обойти механизмы обнаружения и (или) фильтры выполнения для control.exe.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте и анализируйте операции с компонентами, связанными с CPL-файлами, например control.exe. Анализируйте новые компоненты панели управления, а также компоненты, уже присутствующие на диске, на предмет вредоносного содержимого. CPL-файлы, как и обычные исполняемые файлы, являются образами PE-формата, а значит, их можно анализировать с помощью традиционных инструментов и методов с учетом применяемых техник противодействия реверс-инжинирингу.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте хранение и выполнение элементов панели управления защищенными каталогами, например C:\Windows, а не каталогами пользователя.

IDM1038НазваниеЗащита от выполненияОписание

Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политик ограничения программного обеспечения, чтобы выявлять и при необходимости блокировать потенциально вредоносные и неизвестные файлы .cpl .