Техника на mitre.org

T1546.008: Специальные возможности

Злоумышленники могут закрепиться в системе или повысить свои привилегии путем запуска вредоносного содержимого, активируемого специальными возможностями. Windows содержит специальные возможности, которые могут быть активированы с помощью комбинации клавиш до того, как пользователь вошел в систему (например, когда он находится на экране входа в Windows). Злоумышленник может изменить программы, запускаемые данными комбинациями, чтобы получить доступ к командной строке или бэкдору без входа в систему.

Двумя распространенными программами специальных возможностей являются C:\Windows\System32\sethc.exe, запускаемая при пятикратном нажатии клавиши SHIFT, и C:\Windows\System32\utilman.exe, запускаемая при нажатии комбинации клавиш Windows+U. Программа sethc.exe включает так называемый режим залипания клавиш", и используется злоумышленниками для неаутентифицированного доступа через экран входа удаленного рабочего стола .

В зависимости от версии Windows злоумышленник может использовать эти возможности по-разному. Часто злоумышленники используют такие методы, как замена исполняемых файлов программ специальных возможностей или замена ссылок на эти файлы в реестре. В новых версиях Windows заменяемый бинарный файл должен быть подписан цифровой подписью для систем x64, находиться в каталоге %systemdir%</code> и защищен системой защиты файлов или ресурсов Windows (WFP/WRP) . Скорее всего, техника Внедрение в IFEO с использованием отладчика была разработана как потенциальный способ решения этой проблемы, поскольку она не требует замены соответствующего бинарного файла программы специальных возможностей.

В случае простой замены бинарных файлов в Windows XP и более поздних версиях, а также в Windows Server 2003/R2 и более поздних версиях соответствующая программа (например, C:\Windows\System32\utilman.exe) может быть заменена на cmd.exe (или другую программу, предоставляющую доступ к бэкдору). В дальнейшем ввод соответствующей комбинации клавиш на экране входа в систему посредством клавиатуры или при подключении по протоколу удаленного рабочего стола приведет к выполнению замененного файла с привилегиями SYSTEM .

Существуют и другие специальные возможности, которые могут быть использованы подобным образом :

  • экранная клавиатура: C:\Windows\System32\osk.exe
  • экранная лупа: C:\Windows\System32\Magnify.exe
  • экранный диктор: C:\Windows\System32\Narrator.exe
  • переключатель экранов: C:\Windows\System32\DisplaySwitch.exe
  • переключатель приложений: C:\Windows\System32\AtBroker.exe

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-459: Accessibility_Feature_Tool_Abuse: Попытка обойти вход в систему с помощью специальных возможностей ОС Windows (accessibility features) mitre_attck_persistence: PT-CR-268: Windows_Accessibility_StickyKey_Modification: Обнаружена попытка изменить ключ реестра, отвечающий за запуск приложений специальных возможностей

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте выполнение новых процессов, с помощью которых злоумышленники могут закрепиться в системе и (или) повысить уровень привилегий путем запуска вредоносного содержимого, активируемого специальными возможностями.

Злоумышленники могут использовать специальные возможности, например функцию залипания клавиш или утилиту Utilman, для запуска командной оболочки с экрана входа в Windows и получения привилегий учетной записи SYSTEM. Поскольку у них нет физического доступа к устройству, для реализации этой техники используется служба удаленных рабочих столов. Чтобы предотвратить доступ злоумышленников к экрану входа в Windows без предварительной аутентификации, необходимо включить аутентификацию на уровне сети (NLA). Если к одной из утилит специальных возможностей будет прикреплен отладчик, он сможет перехватить выполнение этой утилиты и запустить новую командную строку. Аналитика отслеживает процессы cmd.exe или powershell.exe, запущенные непосредственно процессом входа в систему — winlogon.exe.

Через Центр специальных возможностей запускается несколько специальных возможностей:

  • sethc.exe включает функцию залипания клавиш;
  • utilman.exe открывает меню Центра специальных возможностей;
  • osk.exe запускает экранную клавиатуру;
  • narrator.exe озвучивает текст с экрана;
  • magnify.exe увеличивает область вокруг курсора.

Один из простых способов реализации этого метода обнаружения заключается в отслеживании пробелов в пути к папке system32 — в стандартной конфигурации Windows их нет. Если какая-либо из утилит специальных возможностей будет запущена в режиме отладки, Windows инициирует процесс отладки и добавит командную строку к этой утилите, в результате чего в командной строке перед путем появится пробел. Поиск пробелов в командной строке перед именем программы позволит выявить случаи использования отладчика.

Ключ реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options позволяет настраивать параметры выполнения приложений. Злоумышленники часто используют параметр Debugger, чтобы активировать функцию отладчика. Если для ключа установлено это значение, можно управлять отладчиком через командную строку. Windows запустит командную строку для отладки и передаст в нее исходную командную строку в качестве аргумента. Злоумышленники могут запускать специальные возможности в режиме отладки. Аналитика отслеживает случаи использования исходной командной строки в качестве аргумента отладчика. Если строки "sethc.exe", "utilman.exe", "osk.exe", "narrator.exe" и "Magnify.exe" указаны среди аргументов, а не как основной исполняемый файл, вероятно, специальные возможности выполняются в режиме отладки.

Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Этот вариант аналитики отслеживает запуск стандартных специальных возможностей, таких как sethc.exe, но не фильтрует их по другим критериям, что может привести к ложным срабатываниям. Поэтому рекомендуется дополнить эту аналитику вспомогательными проверками, например имени родительского процесса, чтобы уменьшить количество ложных срабатываний.

Эффективность аналитики 2 зависит от вероятности указания известных строк в качестве аргументов при запуске других приложений, используемых в повседневных операциях. Использование строки "sethc.exe" в качестве аргумента при запуске другого приложения маловероятно, но не исключено.

Аналитика 1. Выполнение команды из Winlogon

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") AND ParentImage="winlogon.exe" AND Image="cmd.exe"AND (CommandLine="*sethc.exe" OR CommandLine="*utilman.exe" OR CommandLine="*osk.exe" OR CommandLine="*narrator.exe" OR CommandLine="*magnify.exe"

Аналитика 2. Запуск специальных возможностей в режиме отладки

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") | where CommandLine match "$. .(sethcutilmanosknarratormagnify).exe"

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте ключи реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе и (или) повышения уровня привилегий путем запуска вредоносного содержимого, активируемого специальными возможностями. Запуск инструментов, способных изменить связанные ключи в реестре, должен рассматриваться как подозрительный. Отслеживайте изменения аргументов утилит и самих бинарных файлов.

Примечание. При запуске блоков сценариев PowerShell в журнале Microsoft-Windows-Powershell/Operational генерируется событие с идентификатором 4104, в которое записывается содержимое этих блоков; анализ этих событий позволяет обнаружить несанкционированное использование специальных возможностей.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого специальными возможностями.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут закрепиться в системе и (или) повысить свои привилегии путем запуска вредоносного содержимого, активируемого специальными возможностями. Подозрительными можно считать изменения бинарных файлов системных утилит, связанных со специальными возможностями, а также путей к ним, если эти изменения не связаны с известным ПО, циклами выпуска исправлений и другой легитимной активностью.

Меры противодействия

IDM1028НазваниеИзменение конфигурации ОСОписание

Чтобы использовать эту технику удаленно, злоумышленник должен использовать ее в сочетании с RDP. Проследите, чтобы была включена проверка подлинности на сетевом уровне (NLA), чтобы пользователь проходил аутентификацию перед созданием сеанса удаленного рабочего стола и отображением экрана входа в систему. Она включена по умолчанию в Windows Vista и более поздних версиях Windows.

IDM1038НазваниеЗащита от выполненияОписание

Для реализации этой техники злоумышленники могут подменить бинарные файлы с функциональностью специальных возможностей своими. Используйте средства контроля приложений, такие как управление приложениями в Защитнике Windows, AppLocker или политики ограниченного использования программ (SRP), чтобы выявлять и при необходимости блокировать потенциально вредоносные программы, выполняемые через функциональность специальных возможностей .

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

По возможности используйте шлюз удаленных рабочих столов для управления подключениями и настройкой безопасности RDP в сети.