T1218.014: Консоль управления (MMC)
Злоумышленники могут использовать консоль управления mmc.exe для выполнения вредоносных MSC-файлов. Консоль управления Microsoft (MMC) — это бинарный файл, который может быть подписан сертификатом Microsoft и запускается как в графическом интерфейсе, так и через командную строку. Консоль управления используется для создания, открытия и сохранения пользовательских консолей с административными инструментами Microsoft — оснастками. Оснастки могут использоваться для локального или удаленного управления системами Windows. С помощью консоли управления можно также открывать MSC-файлы, предназначенные для управления конфигурацией системы.
Например, команда mmc C:\Users\foo\admintools.msc /a откроет сохраненный пользовательский MSC-файл в авторском режиме, а команда mmc gpedit.msc откроет окно редактора групповых политик.
Злоумышленники могут использовать команды консоли управления для выполнения вредоносных задач. Например, команда mmc wbadmin.msc delete catalog -quiet удаляет системный каталог резервных копий без ведома пользователя (техника Препятствование восстановлению системы). Примечание: оснастка wbadmin.msc по умолчанию может присутствовать только в операционных системах Windows Server.
Злоумышленники также могут воспользоваться консолью управления для выполнения вредоносных MSC-файлов. Например, сначала они могут создать в реестре вредоносный подключ идентификатора класса (CLSID), который будет однозначно определять объект класса COM-модели. Затем злоумышленники могут создать пользовательскую консоль с оснасткой "Ссылка на веб-ресурс", связанной с вредоносным подключом CLSID. После сохранения MSC-файла злоумышленники могут загрузить полезную нагрузку, на которую указывает CLSID, с помощью команды mmc.exe -Embedding C:\path\to\test.msc.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые позволяют получить данные DNS целевой системы и использовать их в ходе атаки. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание и использование файлов с расширением .msc. С помощью консоли управления (MMC) можно легитимно вызывать файлы .msc, созданные Microsoft, включая |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы на предмет подозрительного или опасного использования консоли управления (MMC). Поскольку MMC является подписанным бинарным файлом Windows, проверяйте, не является ли запущенный процесс вредоносным. |
|---|
Меры противодействия
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Консоль управления Microsoft (MMC) может быть не нужна в конкретной среде, поскольку она используется в основном системными администраторами, а не обычными пользователями или клиентами. |
|---|
| ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений, настроенный на блокировку выполнения MMC, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное злоупотребление со стороны злоумышленников. |
|---|