T1546.002: Экранная заставка
Злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого в период бездействия пользователя. Экранные заставки — это программы, которые запускаются по истечении заданного времени бездействия пользователя и представляют собой переносимые исполняемые (PE) файлы с расширением .scr. Приложение экранной заставки Windows scrnsave.scr находится в каталоге C:\Windows\System32</code> (или C:\Windows\sysWOW64</code> в 64-разрядных версиях Windows) вместе с заставками, входящими в базовую установку Windows.
Указанные ниже параметры заставки хранятся в реестре (HKCU\Control Panel\Desktop</code>) и могут быть изменены для закрепления в системе:
SCRNSAVE.exe — указывается путь к вредоносному PE-файлу;ScreenSaveActive — устанавливается значение 1 для включения экранной заставки;ScreenSaverIsSecure — устанавливается значение 0, чтобы не запрашивался пароль разблокировки;ScreenSaveTimeout — устанавливается время бездействия пользователя перед запуском экранной заставки.
Злоумышленники могут использовать настройки экранной заставки для закрепления в системе, чтобы вместо заставки после определенного периода бездействия пользователя запускалось вредоносное ПО.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-270: Windows_Screensaver_Modification: Обнаружена попытка закрепиться на узле через экранную заставку
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого в период бездействия пользователя. Событие Windows с идентификатором 4663 (попытка получения доступа к объекту) можно использовать для уведомления о попытках доступа к файлам экранных заставок (обычно это файлы с расширением .scr). |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут закрепиться в системе путем запуска вредоносного содержимого, активируемого в период бездействия пользователя. Аналитика 1. Созданные на диске файлы, используемые в качестве экранной заставки
|
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд и аргументы для SCR-файлов. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте выполнение новых процессов, которые могут использоваться для закрепления в системе путем запуска вредоносного содержимого, активируемого в период бездействия пользователя. Аналитика 1. Ключ реестра HKCU\Control Panel\Desktop
|
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в настройках экранной заставки в реестре, которые не соответствуют обычному поведению пользователя. С помощью таких инструментов, как Sysinternals Autoruns, можно обнаружить изменения в пути к бинарному файлу экранной заставки в реестре. Файлы стандартных экранных заставок хранятся в папке C:\Windows\System32. Эти файлы позволяют составить список файлов экранной заставки, которые не вызывают подозрений, и использовать его для сравнения. Аналитика 1. Изменение экранной заставки через реестр
|
|---|
Меры противодействия
| ID | M1038 | Название | Защита от выполнения | Описание | Блокируйте выполнение файлов .scr из нестандартных мест. |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Используйте групповую политику, чтобы отключить заставки, если они не нужны. |
|---|