Техника на mitre.org

T1546.001: Подмена файловых ассоциаций по умолчанию

Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого через файловые ассоциации. При открытии файла запускается программа, используемая по умолчанию для его открытия (также называемая обработчиком этого типа файлов). Связь файла с обработчиком называется ассоциацией. Действующие файловые ассоциации хранятся в реестре Windows и могут быть изменены пользователями, администраторами или программами, имеющими доступ к реестру; кроме того, администраторы могут изменить их с помощью встроенной утилиты assoc. Приложения могут изменять файловые ассоциации для того или иного расширения, чтобы при открытии файла с ним вызывалась нужная программа.

Файловые ассоциации системы перечислены в ключах вида HKEY_CLASSES_ROOT.[extension], например HKEY_CLASSES_ROOT.txt. Эти записи указывают на обработчик данного расширения, расположенный в разделе HKEY_CLASSES_ROOT\[handler]. Различные команды указываются в виде подключей ключа shell HKEY_CLASSES_ROOT\[handler]\shell\[action]\command. Например:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\print\command
HKEY_CLASSES_ROOT\txtfile\shell\printto\command

Значения указанных ключей — команды, которые выполняются, когда обработчик открывает файл с данным расширением. Злоумышленники могут изменять эти значения для постоянного выполнения нужных им команд.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-664: Default_File_Association_Modify: Процесс изменил одну из веток реестра, отвечающих за определение приложения по умолчанию, используемого для открытия файлов, имеющих определенное расширение в системе

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого через сопоставление типов файлов.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого через сопоставление типа файла.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Собирайте и анализируйте изменения в ключах реестра, в которых перечислены стандартные приложения для открытия файлов по расширениям. Это может указывать на выполнение неизвестных процессов или использование нехарактерных для приложений типов файлов. Пользовательские настройки файловых ассоциаций хранятся в `[HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts` и имеют приоритет над ассоциациями, настроенными в `[HKEY_CLASSES_ROOT]`. Изменения пользовательских настроек вносятся в подключи этой записи.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого через сопоставление типов файлов.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого через сопоставление типа файла.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Собирайте и анализируйте изменения в ключах реестра, в которых перечислены стандартные приложения для открытия файлов по расширениям. Это может указывать на выполнение неизвестных процессов или использование нехарактерных для приложений типов файлов. Пользовательские настройки файловых ассоциаций хранятся в `[HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts` и имеют приоритет над ассоциациями, настроенными в `[HKEY_CLASSES_ROOT]`. Изменения пользовательских настроек вносятся в подключи этой записи.