MaxPatrol EDR

Защищает конечные точки со всеми популярными ОС от сложных и целевых атак

T1218.014: Консоль управления (MMC)

Злоумышленники могут использовать консоль управления mmc.exe для выполнения вредоносных MSC-файлов. Консоль управления Microsoft (MMC) — это бинарный файл, который может быть подписан сертификатом Microsoft и запускается как в графическом интерфейсе, так и через командную строку. Консоль управления используется для создания, открытия и сохранения пользовательских консолей с административными инструментами Microsoft — оснастками. Оснастки могут использоваться для локального или удаленного управления системами Windows. С помощью консоли управления можно также открывать MSC-файлы, предназначенные для управления конфигурацией системы.

Например, команда mmc C:\Users\foo\admintools.msc /a откроет сохраненный пользовательский MSC-файл в авторском режиме, а команда mmc gpedit.msc откроет окно редактора групповых политик.

Злоумышленники могут использовать команды консоли управления для выполнения вредоносных задач. Например, команда mmc wbadmin.msc delete catalog -quiet удаляет системный каталог резервных копий без ведома пользователя (техника Препятствование восстановлению системы). Примечание: оснастка wbadmin.msc по умолчанию может присутствовать только в операционных системах Windows Server.

Злоумышленники также могут воспользоваться консолью управления для выполнения вредоносных MSC-файлов. Например, сначала они могут создать в реестре вредоносный подключ идентификатора класса (CLSID), который будет однозначно определять объект класса COM-модели. Затем злоумышленники могут создать пользовательскую консоль с оснасткой "Ссылка на веб-ресурс", связанной с вредоносным подключом CLSID. После сохранения MSC-файла злоумышленники могут загрузить полезную нагрузку, на которую указывает CLSID, с помощью команды mmc.exe -Embedding C:\path\to\test.msc.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor processes for suspicious or malicious use of MMC. Since MMC is a signed Windows binary, verify use of MMC is legitimate and not malicious.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may gather information about the victim's DNS that can be used during targeting.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for creation and use of .msc files. MMC may legitimately be used to call Microsoft-created .msc files, such as services.msc or eventvwr.msc. Invoking non-Microsoft .msc files may be an indicator of malicious activity.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

MMC may not be necessary within a given environment since it is primarily used by system administrators, not regular users or clients.

IDM1038НазваниеЗащита от выполненияОписание

Use application control configured to block execution of MMC if it is not required for a given system or network to prevent potential misuse by adversaries.