MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1546.008: Специальные возможности

Злоумышленники могут закрепиться в системе или повысить свои привилегии путем запуска вредоносного содержимого, активируемого специальными возможностями. Windows содержит специальные возможности, которые могут быть активированы с помощью комбинации клавиш до того, как пользователь вошел в систему (например, когда он находится на экране входа в Windows). Злоумышленник может изменить программы, запускаемые данными комбинациями, чтобы получить доступ к командной строке или бэкдору без входа в систему.

Двумя распространенными программами специальных возможностей являются C:\Windows\System32\sethc.exe, запускаемая при пятикратном нажатии клавиши SHIFT, и C:\Windows\System32\utilman.exe, запускаемая при нажатии комбинации клавиш Windows+U. Программа sethc.exe включает так называемый режим залипания клавиш", и используется злоумышленниками для неаутентифицированного доступа через экран входа удаленного рабочего стола .

В зависимости от версии Windows злоумышленник может использовать эти возможности по-разному. Часто злоумышленники используют такие методы, как замена исполняемых файлов программ специальных возможностей или замена ссылок на эти файлы в реестре. В новых версиях Windows заменяемый бинарный файл должен быть подписан цифровой подписью для систем x64, находиться в каталоге %systemdir%\ и защищен системой защиты файлов или ресурсов Windows (WFP/WRP) . Скорее всего, техника Внедрение в IFEO с использованием отладчика была разработана как потенциальный способ решения этой проблемы, поскольку она не требует замены соответствующего бинарного файла программы специальных возможностей.

В случае простой замены бинарных файлов в Windows XP и более поздних версиях, а также в Windows Server 2003/R2 и более поздних версиях соответствующая программа (например, C:\Windows\System32\utilman.exe) может быть заменена на cmd.exe (или другую программу, предоставляющую доступ к бэкдору). В дальнейшем ввод соответствующей комбинации клавиш на экране входа в систему посредством клавиатуры или при подключении по протоколу удаленного рабочего стола приведет к выполнению замененного файла с привилегиями SYSTEM .

Существуют и другие специальные возможности, которые могут быть использованы подобным образом :

  • экранная клавиатура: C:\Windows\System32\osk.exe
  • экранная лупа: C:\Windows\System32\Magnify.exe
  • экранный диктор: C:\Windows\System32\Narrator.exe
  • переключатель экранов: C:\Windows\System32\DisplaySwitch.exe
  • переключатель приложений: C:\Windows\System32\AtBroker.exe

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-268: Windows_Accessibility_StickyKey_modification: Обнаружена попытка изменить ключ реестра, отвечающий за запуск приложений специальных возможностей
mitre_attck_persistence: PT-CR-459: Accessibility_Feature_Tool_Abuse: Попытка обойти вход в систему с помощью специальных возможностей ОС Windows (accessibility features)

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may establish persistence and/or elevate privileges by executing malicious content triggered by accessibility features.

An adversary can use accessibility features (Ease of Access), such as StickyKeys or Utilman, to launch a command shell from the logon screen and gain SYSTEM access. Since an adversary does not have physical access to the machine, this technique must be run within Remote Desktop. To prevent an adversary from getting to the login screen without first authenticating, Network-Level Authentication (NLA) must be enabled. If a debugger is set up for one of the accessibility features, then it will intercept the process launch of the feature and instead execute a new command line. This analytic looks for instances of cmd.exe or powershell.exe launched directly from the logon process, winlogon.exe.

Several accessibility programs can be run using the Ease of Access center

  • sethc.exe handles StickyKeys
  • utilman.exe is the Ease of Access menu
  • osk.exe runs the On-Screen Keyboard
  • narrator.exe reads screen text over audio
  • magnify.exe magnifies the view of the screen near the cursor

One simple way to implement this technique is to note that in a default Windows configuration there are no spaces in the path to the system32 folder. If the accessibility programs are ever run with a Debugger set, then Windows will launch the Debugger process and append the command line to the accessibility program. As a result, a space is inserted in the command line before the path. Looking for any instances of a space in the command line before the name of an accessibility program will help identify when Debuggers are set.

The Windows Registry location HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options allows for parameters to be set for applications during execution. One feature used by malicious actors is the “Debugger” option. When a key has this value enabled, a Debugging command line can be specified. Windows will launch the Debugging command line, and pass the original command line in as an argument. Adversaries can set a Debugger for Accessibility Applications. The analytic looks for the original command line as an argument to the Debugger. When the strings “sethc.exe”, “utilman.exe”, “osk.exe”, “narrator.exe”, and “Magnify.exe” are detected in the arguments, but not as the main executable, it is very likely that a Debugger is set.

Note: Event IDs are for Sysmon (Event ID 1 - process create) and Windows Security Log (Event ID 4688 - a new process has been created). The Analytic example looks for any creation of common accessibility processes such as sethc.exe but does no other filtering, which may result in false positives. Therefore, we recommend tuning any such analytics by including additional logic (e.g., testing the name of the parent process) that helps reduce false positives.

Analytic 2 could depend on the possibility of the known strings used as arguments for other applications used in the day-to-day environment. Although the chance of the string “sethc.exe” being used as an argument for another application is unlikely, it still is a possibility.

Analytic 1 - Command Launched from Winlogon

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") AND ParentImage="winlogon.exe" AND Image="cmd.exe"AND (CommandLine="*sethc.exe" OR CommandLine="*utilman.exe" OR CommandLine="*osk.exe" OR CommandLine="*narrator.exe" OR CommandLine="*magnify.exe"

Analytic 2 - Debuggers for Accessibility Applications

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") | where CommandLine match "$. .(sethcutilmanosknarratormagnify).exe"

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor Registry keys within HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may establish persistence and/or elevate privileges by executing malicious content triggered by accessibility features. Command line invocation of tools capable of modifying the Registry for associated keys are also suspicious. Utility arguments and the binaries themselves should be monitored for changes.

Note: Event ID 4104 (from the Microsoft-Windows-Powershell/Operational log) captures Powershell script blocks, which can be analyzed and used to detect on abuse of Accessibility Features.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to files that may establish persistence and/or elevate privileges by executing malicious content triggered by accessibility features. Changes to accessibility utility binaries or binary paths that do not correlate with known software, patch cycles, etc., are suspicious.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor newly constructed files that may establish persistence and/or elevate privileges by executing malicious content triggered by accessibility features.

Меры противодействия

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

If possible, use a Remote Desktop Gateway to manage connections and security configuration of RDP within a network.

IDM1028НазваниеИзменение конфигурации ОСОписание

To use this technique remotely, an adversary must use it in conjunction with RDP. Ensure that Network Level Authentication is enabled to force the remote desktop session to authenticate before the session is created and the login screen displayed. It is enabled by default on Windows Vista and later.

IDM1038НазваниеЗащита от выполненияОписание

Adversaries can replace accessibility features binaries with alternate binaries to execute this technique. Identify and block potentially malicious software executed through accessibility features functionality by using application control tools, like Windows Defender Application Control, AppLocker, or Software Restriction Policies where appropriate.