T1505.005: DLL служб терминалов
Злоумышленники могут использовать компоненты служб терминалов для закрепления в системе. Службы терминалов Microsoft, получившие название "службы удаленных рабочих столов" в некоторых ОС Windows Server начиная с 2022 года, обеспечивают удаленные терминальные подключения к хостам. Службы терминалов позволяют пользователям с клиентских компьютеров получать доступ к полноценному интерактивному графическому интерфейсу серверов по протоколу RDP.
Службы Windows, запускаемые как общий процесс (например, svchost.exe), загружают DLL-файл службы, расположение которого хранится в значении реестра ServiceDll. Для служб терминалов файл termsrv.dll, обычно хранящийся в каталоге %SystemRoot%\System32\, указывается в качестве значения ServiceDll по умолчанию в разделе HKLM\System\CurrentControlSet\services\TermService\Parameters\.
Злоумышленники могут модифицировать и (или) заменить DLL-файл служб терминалов, чтобы обеспечить постоянный доступ к скомпрометированным узлам. В эту DLL могут вноситься изменения как для выполнения произвольной полезной нагрузки (возможно, с сохранением обычной функциональности termsrv.dll), так и просто для включения уязвимых к эксплуатации функций служб терминалов. Например, злоумышленник может включить такие функции, как одновременные сеансы по протоколу удаленного рабочего стола, либо изменив сам файл termsrv.dll, либо указав в значении реестра ServiceDll путь к DLL-файлу, предоставляющему расширенные функции RDP. В несерверных ОС Windows благодаря этим расширенным функциям злоумышленник может избежать подсказок служб терминалов, которые отображают предупреждения или закрывают сеанс пользователя в системе при создании нового сеанса RDP.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий изменения ключа реестра HKLM\System\CurrentControlSet\Services\TermService\Parameters\ServiceDll. Этот ключ должен содержать значение «%SystemRoot%\System32\termsrv.dll». Если это не так, следует выполнить проверку на предмет потенциально вредоносной активности. — Мониторинг событий запуска процесса reg.exe, в командной строке которых содержится значение «termsrv.dll». — Мониторинг событий загрузки подозрительных библиотек DLL процессом Terminal Services (например, «svchost.exe -k termsvcs»). По умолчанию библиотека должна иметь следующий вид: %SystemRoot%\System32\termsrv.dll
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузку модулей процессами служб терминалов (например, |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в файле
|
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут указывать на возможное изменение значений ключей реестра злоумышленниками (например, |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра, связанных с
|
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте процессы с аргументами, которые могут указывать на изменение значений ключей реестра злоумышленниками (например, |
|---|
Меры противодействия
| ID | M1047 | Название | Аудит | Описание | Чтобы контролировать целостность систем, регулярно проверяйте на неожиданные изменения программные компоненты критически важных служб, которые злоумышленники могут использовать для закрепления в системе. |
|---|
| ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | По возможности используйте групповую политику для настройки и блокирования изменений параметров служб терминалов в реестре. |
|---|