T1218.014: Консоль управления (MMC)
Злоумышленники могут использовать консоль управления mmc.exe для выполнения вредоносных MSC-файлов. Консоль управления Microsoft (MMC) — это бинарный файл, который может быть подписан сертификатом Microsoft и запускается как в графическом интерфейсе, так и через командную строку. Консоль управления используется для создания, открытия и сохранения пользовательских консолей с административными инструментами Microsoft — оснастками. Оснастки могут использоваться для локального или удаленного управления системами Windows. С помощью консоли управления можно также открывать MSC-файлы, предназначенные для управления конфигурацией системы.
Например, команда mmc C:\Users\foo\admintools.msc /a
откроет сохраненный пользовательский MSC-файл в авторском режиме, а команда mmc gpedit.msc
откроет окно редактора групповых политик.
Злоумышленники могут использовать команды консоли управления для выполнения вредоносных задач. Например, команда mmc wbadmin.msc delete catalog -quiet
удаляет системный каталог резервных копий без ведома пользователя (техника Препятствование восстановлению системы). Примечание: оснастка wbadmin.msc
по умолчанию может присутствовать только в операционных системах Windows Server.
Злоумышленники также могут воспользоваться консолью управления для выполнения вредоносных MSC-файлов. Например, сначала они могут создать в реестре вредоносный подключ идентификатора класса (CLSID), который будет однозначно определять объект класса COM-модели. Затем злоумышленники могут создать пользовательскую консоль с оснасткой "Ссылка на веб-ресурс", связанной с вредоносным подключом CLSID. После сохранения MSC-файла злоумышленники могут загрузить полезную нагрузку, на которую указывает CLSID, с помощью команды mmc.exe -Embedding C:\path\to\test.msc
.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor processes for suspicious or malicious use of MMC. Since MMC is a signed Windows binary, verify use of MMC is legitimate and not malicious. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may gather information about the victim's DNS that can be used during targeting. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for creation and use of .msc files. MMC may legitimately be used to call Microsoft-created .msc files, such as |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | MMC may not be necessary within a given environment since it is primarily used by system administrators, not regular users or clients. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Use application control configured to block execution of MMC if it is not required for a given system or network to prevent potential misuse by adversaries. |
---|