Техника на mitre.org

T1218.003: Установщик профилей диспетчера подключений (CMSTP)

Злоумышленники могут использовать программу CMSTP для выполнения вредоносного кода. Установщик профилей диспетчера подключений (CMSTP) Microsoft — это программа, выполняемая в режиме командной строки для установки профилей службы диспетчера подключений . CMSTP.exe принимает в качестве параметра INF-файл, содержащий сведения об установке, и устанавливает профиль службы, который будет использоваться для подключения удаленного доступа.

Злоумышленники могут передавать в CMSTP.exe INF-файлы, содержащие вредоносные команды . Подобно применению утилиты Regsvr32 в технике Squiblydoo, CMSTP.exe может использоваться для загрузки и выполнения DLL-библиотек и (или) сценариев COM (файлов SCT) с удаленных серверов . В этом случае файлы могут выполняться в обход AppLocker и других средств контроля приложений, поскольку CMSTP.exe является легитимным бинарным файлом и может быть подписан сертификатом Microsoft.

Злоумышленники могут использовать CMSTP.exe для обхода контроля учетных записей пользователей и выполнения произвольных команд, записанных во вредоносный INF-файл, через COM-интерфейс с повышенными привилегиями .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-201: Cmstp_AWL_Bypass: Попытка обойти контроль учетных записей (UAC) или запрет на запуск приложения с помощью встроенной утилиты Microsoft Windows cmstp.exe (устанавливает или удаляет профиль службы диспетчера подключений)

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений с аномальными или недоверенными узлами, например по событию Sysmon с идентификатором 3 (сетевое соединение), где параметр Image содержит CMSTP.exe, а DestinationIP — внешний IP-адрес. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Эта аналитика отслеживает создание нового процесса CMSTP.exe, который инициирует сетевое подключение к нелокальному IP-адресу. Это специфическая реализация, при которой CMSTP.exe может использоваться для установки прослушивателей, которые будут получать и устанавливать вредоносные программы из удаленных источников легитимным способом. Аналитика 1. Установщик профилей диспетчера подключений (CMSTP) `(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="3") Image="C:\Windows\System32\CMSTP.exe" \| WHERE ((!cidrmatch("10.0.0.0/8", SourceIp) AND !cidrmatch("192.168.0.0/16", SourceIp) AND !cidrmatch("172.16.0.0/12", SourceIp))`

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут собирать информацию о целевых узлах для последующей атаки. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить несанкционированное использование установщика профилей диспетчера подключений (CMSTP).

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы для обнаружения и анализа событий запуска утилиты CMSTP.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты CMSTP.exe с историей использования известных допустимых аргументов и загрузки допустимых файлов, чтобы выявить аномальную и потенциально вредоносную активность. Анализ событий Sysmon также позволяет выявить потенциально вредоносное использование CMSTP.exe. Выбор стратегии обнаружения зависит от процедур, использованных злоумышленником, однако возможно применение следующих правил: Для обнаружения загрузки и выполнения локальных и удаленных полезных нагрузок отслеживайте события с идентификатором 1 (создание процесса), где ParentImage содержит CMSTP.exe. Также отслеживайте такие события, как создание процессов (событие Sysmon с идентификатором 1), которые используют COM-интерфейсы CMSTP с повышенным уровнем привилегий, такие как CMSTPLUA (3E5FC7F9-9A51-4367-9063-A120244FBEC7) и CMLUAUTIL (3E000D72-A845-4CD9-BD83-80C07C3B881F).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений с аномальными или недоверенными узлами, например по событию Sysmon с идентификатором 3 (сетевое соединение), где параметр Image содержит CMSTP.exe, а DestinationIP — внешний IP-адрес. Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Эта аналитика отслеживает создание нового процесса CMSTP.exe, который инициирует сетевое подключение к нелокальному IP-адресу. Это специфическая реализация, при которой CMSTP.exe может использоваться для установки прослушивателей, которые будут получать и устанавливать вредоносные программы из удаленных источников легитимным способом. Аналитика 1. Установщик профилей диспетчера подключений (CMSTP) `(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="3") Image="C:\Windows\System32\CMSTP.exe" \| WHERE ((!cidrmatch("10.0.0.0/8", SourceIp) AND !cidrmatch("192.168.0.0/16", SourceIp) AND !cidrmatch("172.16.0.0/12", SourceIp))`
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут собирать информацию о целевых узлах для последующей атаки. Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить несанкционированное использование установщика профилей диспетчера подключений (CMSTP).
DS0009	Процесс: Создание процесса	Отслеживайте процессы для обнаружения и анализа событий запуска утилиты CMSTP.exe и ее аргументов. Сопоставляйте недавние вызовы утилиты CMSTP.exe с историей использования известных допустимых аргументов и загрузки допустимых файлов, чтобы выявить аномальную и потенциально вредоносную активность. Анализ событий Sysmon также позволяет выявить потенциально вредоносное использование CMSTP.exe. Выбор стратегии обнаружения зависит от процедур, использованных злоумышленником, однако возможно применение следующих правил: Для обнаружения загрузки и выполнения локальных и удаленных полезных нагрузок отслеживайте события с идентификатором 1 (создание процесса), где ParentImage содержит CMSTP.exe. Также отслеживайте такие события, как создание процессов (событие Sysmon с идентификатором 1), которые используют COM-интерфейсы CMSTP с повышенным уровнем привилегий, такие как CMSTPLUA (3E5FC7F9-9A51-4367-9063-A120244FBEC7) и CMLUAUTIL (3E000D72-A845-4CD9-BD83-80C07C3B881F).

Меры противодействия

ID	M1038	Название	Защита от выполнения	Описание	По возможности используйте контроль приложений, настроенный на блокировку выполнения CMSTP.exe, если он не нужен в данной системе или сети, чтобы предотвратить потенциальное использование злоумышленниками.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Программа CMSTP.exe может быть не нужна в конкретной среде (если только она не используется для установки VPN-соединения).

ID	Название	Описание
M1038	Защита от выполнения	По возможности используйте контроль приложений, настроенный на блокировку выполнения CMSTP.exe, если он не нужен в данной системе или сети, чтобы предотвратить потенциальное использование злоумышленниками.
M1042	Отключение или удаление компонента или программы	Программа CMSTP.exe может быть не нужна в конкретной среде (если только она не используется для установки VPN-соединения).