T1547.003: Поставщики времени

Злоумышленники могут использовать поставщики времени для запуска DLL-библиотек при загрузке системы. Служба времени Windows (W32Time) обеспечивает синхронизацию времени между доменами и в их пределах. Поставщики времени W32Time отвечают за получение меток времени с аппаратных и сетевых ресурсов и передачу этих значений другим клиентам в сети.

Поставщики времени реализуются в виде динамических библиотек (DLL), которые регистрируются в подключах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32Time\TimeProviders\. Диспетчер поставщиков времени, управляемый диспетчером служб, загружает и запускает поставщики времени, указанные и включенные в этом ключе, при запуске системы и (или) изменении параметров.

Злоумышленники могут использовать эту архитектуру для закрепления в системе, в частности, путем создания нового подключа с произвольным именем и параметром DllName, указывающим на вредоносную DLL. Для регистрации поставщика времени требуются привилегии администратора, хотя выполнение будет происходить в контексте учетной записи Local Service.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-1360: Suspicious_Registry_Value: Злоупотребление реестром Windows, что может быть признаком подготовки к атаке: закрепления, повышения привилегий, горизонтального перемещения, предотвращения обнаружения, сбора данных и другой вредоносной активности mitre_attck_persistence: PT-CR-1346: Time_Providers_Persistence: Закрепление путем изменения настроек в разделе TimeProviders

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут запускать DLL-библиотеки с помощью поставщиков времени при загрузке системы.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Можно зарегистрировать любое количество пользовательских поставщиков времени, и для каждого из них может потребоваться запись полезной нагрузки в виде DLL на диск .

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах и (или) значениях реестра Windows, которые модифицируют данные W32Time в реестре.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, таких как W32tm.exe . Для анализа путей автоматического запуска, включая DLL-библиотеки, зарегистрированные в качестве поставщиков времени, может использоваться инструмент Sysinternals Autoruns .

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

По возможности используйте групповую политику для настройки и блокирования добавлений и изменений DLL-библиотек W32Time .

IDM1024НазваниеОграничение прав доступа к рееструОписание

По возможности используйте групповую политику для настройки и блокирования изменений параметров W32Time в реестре .